Hoe China's aanval op Microsoft escaleerde in een roekeloze hackaanval

Microsoft-president Brad Smith getuigt voor het Congres

Demetrius Freeman-Pool/Getty Images





Aanvankelijk voerden de Chinese hackers een zorgvuldige campagne. Twee maanden lang maakten ze misbruik van de zwakke punten in de e-mailservers van Microsoft Exchange, kozen hun doelwitten zorgvuldig uit en stalen heimelijk hele mailboxen. Toen de onderzoekers het uiteindelijk doorhadden, leek het op typische online spionage, maar toen versnelden de zaken dramatisch.

Rond 26 februari veranderde de enge operatie in iets veel groters en veel chaotischer. Slechts enkele dagen later maakte Microsoft de hacks openbaar - de hackers staan ​​nu bekend als Hafnium - en bracht een beveiligingsoplossing uit. Maar tegen die tijd zochten aanvallers het hele internet naar doelwitten: naast tienduizenden gemeld slachtoffers in de VS, regeringen over de hele wereld zijn aankondigen dat ze ook gecompromitteerd waren. Nu exploiteren minstens 10 hackgroepen, waarvan de meeste door de overheid gesteunde cyberspionageteams, de kwetsbaarheden op duizenden servers in meer dan 115 landen. volgens aan het beveiligingsbedrijf ESET.

Hoe data trusts de privacy kunnen beschermen

We kunnen niet van mensen verwachten dat ze alleen door de verwarrende wereld van gegevensverzameling navigeren. Het is tijd om de krachten te bundelen.



Terwijl president Joe Biden nadenkt... vergelding tegen de Russische hackers wiens aanval op een ander softwarebedrijf, SolarWinds , in december openbaar werd, is de Hafnium-hack een enorme free-for-all geworden, en de gevolgen kunnen nog erger zijn. Terwijl experts sprinten om de gaten te dichten die zijn ontstaan ​​door de Chinese hacking, zeggen functionarissen dat de Amerikaanse regering nauwlettend is gericht op wat er gebeurt naast duizenden nieuwe kwetsbare servers - en hoe te reageren op China.

De poorten staan ​​wijd open voor elke kwaadwillende die iets wil doen met je Exchange-server en de rest van je netwerk, zegt Sean Koessel, vice-president bij Volexity, het cyberbeveiligingsbedrijf dat de hackactiviteit heeft helpen ontdekken. Het beste geval is spionage - iemand die gewoon je gegevens wil stelen. Het ergste geval is dat ransomware binnendringt en het over het hele netwerk verspreidt.

Het onderscheid tussen de twee aanvallen gaat niet alleen over technische details, of zelfs welk land ze hebben gepleegd. Hoewel 18.000 bedrijven de gecompromitteerde SolarWinds-software downloadden, was het aantal echte doelen slechts een fractie van die omvang. Hafnium was ondertussen veel meer willekeurig.



Beiden begonnen als spionagecampagnes, maar het verschil zit 'm in de manier waarop ze werden uitgevoerd, zegt Dmitri Alperovitch, voorzitter van de Silverado Policy Accelerator. De Russian SolarWinds-campagne was zeer zorgvuldig uitgevoerd, waarbij de Russen achter de doelen aangingen waar ze om gaven en ze overal de toegang blokkeerden, zodat noch zij, noch iemand anders die doelen konden bereiken die niet van belang waren.

Vergelijk dat eens met de Chinese campagne, zegt hij.

Op 27 februari realiseren ze zich dat de patch uitkomt, en ze scannen letterlijk de wereld om iedereen in gevaar te brengen. Ze lieten webshells achter waarmee anderen nu in die netwerken kunnen komen, mogelijk zelfs ransomware-actoren. Daarom is het zeer roekeloos, gevaarlijk en moet er op worden gereageerd.



massale uitbuiting

Het begin van de Hafnium-campagne was erg onder de radar, zegt Koessel.

De hacking werd door de meeste beveiligingscontroles gemist: het werd pas opgemerkt toen Volexity vreemde en specifieke verzoeken om internetverkeer opmerkte aan de klanten van het bedrijf die hun eigen Microsoft Exchange-e-mailservers hadden.

Uit een onderzoek van een maand bleek dat vier zeldzame zero-day-exploits werden gebruikt om hele mailboxen te stelen - potentieel verwoestend voor de betrokken personen en bedrijven, maar op dit moment waren er weinig slachtoffers en was de schade relatief beperkt. Volexity werkte weken samen met Microsoft om de kwetsbaarheden te verhelpen, maar Koessel zegt eind februari een grote verandering te hebben gezien. Niet alleen het aantal slachtoffers begon te stijgen, ook het aantal hackgroepen nam toe.



Het is niet duidelijk hoe meerdere hackgroepen van de overheid zich bewust werden van de zero-day-kwetsbaarheden voordat Microsoft een openbare aankondiging deed. Dus waarom explodeerde de omvang van de uitbuiting? Misschien, suggereren sommigen, hebben de hackers zich gerealiseerd dat hun tijd bijna om was. Als ze wisten dat er een patch zou komen, hoe kwamen ze daar dan achter?

Ik denk dat het heel ongebruikelijk is dat zoveel verschillende [geavanceerde hacking]-groepen toegang hebben tot de exploit voor een kwetsbaarheid terwijl de details niet openbaar zijn, zegt Matthieu Faou, die onderzoek leidt naar de Exchange-hacks voor ESET. Er zijn twee grote mogelijkheden, zegt hij. Ofwel zijn de details van de kwetsbaarheden op de een of andere manier gelekt naar de bedreigingsactoren, of een ander kwetsbaarheidsonderzoeksteam dat voor de bedreigingsactoren werkte, ontdekte onafhankelijk dezelfde reeks kwetsbaarheden.

Volexity zag Hafnium een ​​maand lang op de loer liggen in netwerken en nam maatregelen om ze eruit te schoppen voordat Microsoft een patch uitbracht. Dat kan de trigger zijn geweest waardoor Hafnium escaleerde. Of, suggereert Alperovitch, de hackers hadden op een andere manier kunnen bedenken dat er een patch zou komen: beveiligingsteams in de hele branche, waaronder die bij Microsoft, wisselen van tevoren regelmatig informatie uit over kwetsbaarheden en oplossingen. Nadat Microsoft de openbare aankondiging had gedaan, sloten nog meer hackgroepen zich aan bij de strijd.

De dag na de release van de patches begonnen we massaal te observeren dat veel meer bedreigingsactoren Exchange-servers scanden en compromitterden, zegt Faou. Alle, behalve een van de actieve hackgroepen, zijn bekende door de overheid gesteunde hackteams die zich richten op spionage. Het is echter onvermijdelijk dat steeds meer dreigingsactoren, waaronder ransomware-operators, vroeg of laat toegang krijgen tot de exploits, zegt hij.

Naarmate de activiteit toenam, zag Volexity een andere gedragsverandering: hackers lieten webshells achter toen ze inbraken in deze systemen. Dit zijn eenvoudige hacktools die permanente, externe achterdeurtoegang tot geïnfecteerde machines mogelijk maken, zodat de hacker ze kan controleren. Ze kunnen effectief zijn, maar ze zijn ook relatief luidruchtig en gemakkelijk te herkennen.

Zodra hackers een shell op een machine hebben laten vallen, kunnen ze blijven terugkomen totdat deze is opgeruimd - zelfs het oplossen van de kwetsbaarheden die oorspronkelijk de schuld waren, zal de shells niet opruimen. Maar de webshell zelf is nauwelijks beveiligd en kan worden gecoöpteerd door andere hackers - eerst om in te breken op de Exchange-servers en e-mails te stelen, en dan om hele netwerken aan te vallen.

Het is een deur met een slot dat gemakkelijk te openen is, zegt Alperovitch, medeoprichter van het beveiligingsbedrijf CrowdStrike die het bedrijf vorig jaar verliet.

Een andere uitdaging

Het hacken blijft toenemen. Microsoft nam maandag de zeldzame stap om beveiligingspatches vrij te geven voor niet-ondersteunde versies van Exchange die normaal gesproken te oud zouden zijn om te beveiligen - een teken van hoe ernstig het bedrijf denkt dat de aanval is. Microsoft heeft geweigerd commentaar te geven.

Terwijl het Witte Huis een reactie afweegt, groeit het risico. De Biden-administratie heeft langzaam te maken met de geavanceerde spionage van SolarWinds, maar de chaos van de Hafnium-hacks vormt een hele andere uitdaging - zowel bij het oplossen van het probleem als bij het reageren op hackers erachter.

Er moet een bericht naar de Chinezen komen dat dit onaanvaardbaar is, stelt Alperovitch. De VS moeten duidelijk maken dat we ze verantwoordelijk gaan houden voor eventuele schade die het gevolg is van criminele actoren die deze toegang gebruiken, zegt hij, en we moeten ze pushen om die webshells zo snel mogelijk van alle slachtoffers te verwijderen.

zich verstoppen