Понад 60 тис. компаній постраждали внаслідок масштабної хакерської атаки через вразливість у програмі Exchange Server. Однак корпорація Microsoft дізналася про вразливість серверів за два місяці до цих подій, і особливо не поспішала з виправленням.
зібрало інформацію про постраждалих, винних і можливі наслідки.
Хто постраждав
Більш ніж 20 тис. компаній з США та десятки тисяч компаній з Європи й Азії потерпіли від масштабної хакерської атаки, повідомляє Reuters. Всього, за даними Bloomberg, постраждало не менше 60 тис. компаній. Однією з останніх жертв стала Європейська банківська організація (EBA).
«Оскільки вразливість пов'язана з поштовими серверами EBA, доступ до особистих даних через електронні листи, що зберігаються на цих серверах, могли отримати зловмисники. EBA працює над тим, щоб визначити, до яких даних був здійснений доступ», – прокоментували там і додали, що в якості запобіжного засоба EBA відключить свої поштові системи.
Ще серед постраждалих – банки, постачальники електроенергії, будинки для людей похилого віку та навіть компанія з виробництва морозива. Компанія з кібербезпеки, що побажала залишитися анонімною, повідомила, що тільки її експерти працювали щонайменше з 50 жертвами.
«Ми робимо відповідні заходи для оцінки та усунення наслідків. Загроза зберігається і розвивається, тому ми закликаємо операторів інтернет-мереж поставитися до неї дуже серйозно», – прокоментував ситуацію представник Білого дому, підтвердивши тим самим заклопотаність американської влади кібератакою. А прессекретар Білого дому Джен Псакі додала, що йдеться про серйозну уразливість, яка продовжує становити загрозу.
Даних про потерпілих в Україні поки що немає. 2 березня 2021 року Microsoft випустив оновлення безпеки для користувачів Exchange Server і наполегливо рекомендував негайно їх застосувати. Особливо важливо встановити оновлення тим, хто використовує локальну версію Microsoft Exchange Server 2010 2013, 2016 або 2019.
До 5 березня оновлення встановили тільки на 10% пристроїв, які зазнали атаки. Після цього в компанії заявили, що працюють з урядовими агентствами та компаніями для забезпечення безпеки клієнтам.
Хто винен
Корпорація Microsoft повідомила про кібератаку 2 березня 2021 року. Кібератака відбулася через уразливість в програмі для обміну повідомленнями Exchange Server. Згідно з повідомленням, злом стався через хакерів Hafnium, за якими стоїть китайська влада. Влада Китаю заперечує свою причетність.
Хакери здійснювали атаки кілька місяців, однак у менших масштабах. Уже після автоматизації процесів, жертви кібератаки стали обчислюватися десятками тисяч. Але раніше, 31 грудня 2020 року, тайванська організація виявила вразливість у серверах Microsoft. Про уразливість повідомили 5 січня 2021 року, а вже 6 січня її стали використовувати в Hafnium. Фахівці вважають, що спочатку хакери атакували найбільш значимі цілі, зокрема урядові мережі. Уже після того, як уразливість виявили, вони автоматизували атаки та розширили масштаби.
Угруповання Hafnium націлено на організації в США з метою крадіжки інформації з низки секторів промисловості, включаючи дослідників інфекційних захворювань, юридичні фірми, вищі навчальні заклади, оборонні підрядники, аналітичні центри та неурядові організації. Незважаючи на те, що Hafnium знаходиться в Китаї, він здійснює свою діяльність в основному з орендованих віртуальних приватних серверів (VPS) у Сполучених Штатах. За даними Microsoft, останнім часом Hafnium брав участь у низці атак із застосуванням раніше невідомих фрагментів коду, які використовують уразливості програм. Вони були націлені на локальне програмне забезпечення Exchange Server.
Атаки складалися з трьох етапів: спочатку зловмисники отримали доступ до сервера Exchange або за допомогою вкрадених паролів, або за допомогою вразливостей, які не виявили раніше. Далі створили так звану вебоболонку для віддаленого управління зламаним сервером. І після використовували віддалений доступ із приватних серверів у США для крадіжки даних із мережі організації.
Не перша кіберзагроза
Hafnium є не єдиною загрозою. Станом на 6 березня 2021 року щонайменше 5 хакерських угруповань використовували для атак Exchange Server.
Стрімко зростаюча кібератака відбулася через кілька місяців після злому через програмне забезпечення компанії SolarWinds Corp. Йдеться про кібератаку на держустанови США: Держдепартамент, міністерства фінансів, торгівлі й енергетики і, частково, Пентагон. За даними The Washington Post, винною в атаці є угруповання Cozy Bear (або APT29), яке пов'язують із ФСБ і СВР Росії. Москва свою причетність заперечує.
«Результатом є друга криза кібербезпеки, яка настає всього через кілька місяців після того, як підозрювані російські хакери зламали дев'ять федеральних агентств і не менше 100 компаній за допомогою підроблених оновлень від виробника програмного забезпечення для управління ІТ SolarWinds LLC. Експерти з кібербезпеки, які захищають світові комп'ютерні системи, висловлюють зростаюче почуття розчарування і виснаження», – пише Bloomberg.
Вашингтон готує серйозні кроки у відповідь на іноземне вторгнення протягом наступних трьох тижнів. Планується серія таємних акцій у російських мережах, які націлені на те, щоб послати сигнал Володимиру Путіну і його спецслужбам. Ще повідомляється про можливі економічні санкції у бік Росії. За даними New York Times, президент США Джо Байден може видати указ про захист федеральних агентств від злому з боку Росії.
Читайте також
