211service.com
Vier nieuwe hackgroepen hebben zich aangesloten bij een doorlopend offensief tegen de e-mailservers van Microsoft
Foto door Matthew Manuel op Unsplash
Een aan de Chinese overheid gelinkte hackcampagne die deze week door Microsoft is onthuld, is snel op gang gekomen. Ten minste vier andere verschillende hackgroepen vallen nu kritieke fouten aan in de e-mailsoftware van Microsoft in een cybercampagne die de Amerikaanse regering beschrijft als wijdverbreide binnenlandse en internationale uitbuiting met mogelijke gevolgen voor honderdduizenden slachtoffers wereldwijd.
Vanaf januari 2021 begonnen Chinese hackers, bekend als Hafnium, misbruik te maken van kwetsbaarheden in Microsoft Exchange-servers. Maar aangezien het bedrijf publiekelijk onthuld de campagne van dinsdag, hebben zich nog vier groepen aangesloten en de oorspronkelijke Chinese hackers hebben de pretentie van stealth laten vallen en het aantal aanvallen dat ze uitvoeren verhoogd. De groeiende lijst van slachtoffers omvat tienduizenden Amerikaanse bedrijven en overheidsinstanties die het doelwit zijn van de nieuwe groepen.
Er zijn minstens vijf verschillende clusters van activiteiten die misbruik lijken te maken van de kwetsbaarheden, zegt Katie Nickels, die leiding geeft aan een inlichtingenteam bij het cyberbeveiligingsbedrijf Red Canary dat de hacks onderzoekt. Bij het volgen van cyberdreigingen groeperen inlichtingenanalisten clusters van hackactiviteiten op basis van de specifieke technieken, tactieken, procedures, machines, mensen en andere kenmerken die ze waarnemen. Het is een manier om de hackdreigingen waarmee ze worden geconfronteerd te volgen.
Hafnium is een geavanceerde Chinese hackgroep die volgens Microsoft al lang cyberspionagecampagnes voert tegen de Verenigde Staten. Ze zijn een toproofdier - precies het soort dat altijd op de voet wordt gevolgd door opportunistische en slimme aaseters.
De activiteit kwam snel in een hogere versnelling toen Microsoft dinsdag de aankondiging deed. Maar wie deze hackgroepen precies zijn, wat ze willen en hoe ze toegang krijgen tot deze servers, blijft onduidelijk. Het is mogelijk dat de oorspronkelijke Hafnium-groep hun exploitcode heeft verkocht of gedeeld of dat andere hackers de exploits hebben reverse-engineered op basis van de fixes die Microsoft heeft vrijgegeven, legt Nickels uit.
De uitdaging is dat dit allemaal zo troebel is en er zoveel overlap is, zegt Nickels. Wat we hebben gezien, is dat vanaf het moment dat Microsoft over Hafnium publiceerde, het verder is gegaan dan alleen Hafnium. We hebben activiteit gezien die er anders uitziet dan tactieken, technieken en procedures dan waarover ze rapporteerden.
Door misbruik te maken van kwetsbaarheden in Microsoft Exchange-servers, die organisaties gebruiken om hun eigen e-mailservices te beheren, kunnen hackers een webshell maken - een op afstand toegankelijke hacktool die gemakkelijk achterdeurtoegang en controle over de geïnfecteerde machine mogelijk maakt - waarmee ze controleer de gecompromitteerde server via internet en draai vervolgens om gegevens te stelen van het hele netwerk van hun doelwit. De webshell betekent dat, hoewel Microsoft oplossingen voor de fouten heeft uitgegeven - die volgens het bedrijf vrijdag slechts 10% van de Exchange-klanten hadden toegepast - de tegenstander nog steeds via de achterdeur toegang heeft tot hun doelen.
Het toepassen van de softwareoplossingen van Microsoft is een cruciale eerste stap, maar de totale opruimingsinspanning zal voor veel potentiële slachtoffers veel gecompliceerder zijn, vooral wanneer de hackers zich vrijelijk naar andere systemen op het netwerk verplaatsen.
We werken nauw samen met CISA [de Cybersecurity and Infrastructure Security Agency], andere overheidsinstanties en beveiligingsbedrijven om ervoor te zorgen dat we onze klanten de best mogelijke begeleiding en beperking bieden, zegt een Microsoft-woordvoerder. De beste bescherming is om updates zo snel mogelijk toe te passen op alle getroffen systemen. We blijven klanten helpen door aanvullende richtlijnen voor onderzoek en risicobeperking te geven. Getroffen klanten moeten contact opnemen met onze ondersteuningsteams voor aanvullende hulp en bronnen.
Nu meerdere groepen de kwetsbaarheden aanvallen, wordt verwacht dat de hacks onevenredig grote gevolgen zullen hebben voor organisaties die zich het minst kunnen veroorloven om zich ertegen te verdedigen, zoals kleine bedrijven, scholen en lokale overheden. zei voormalig Amerikaanse cyberbeveiligingsfunctionaris Chris Krebs.
Waarom? Krebs vroeg op Twitter. Is dit een flex in de begindagen van de Biden-admin om hun vastberadenheid te testen? Is het een uit de hand gelopen cybercriminaliteitsbende? Aannemers op hol geslagen?
Verwant verhaal
Herstellen van de SolarWinds-hack kan 18 maanden duren Het hoofd van het bureau dat de Amerikaanse inspanningen leidt om een Russische hackaanval op te lossen, zegt dat de wederopbouw erg lang zal duren.
Met potentieel honderdduizenden slachtoffers wereldwijd, heeft deze Exchange-hackcampagne meer doelen getroffen dan de SolarWinds-hack die de Amerikaanse regering momenteel uitvoert worstelend opruimen. Maar net als bij de SolarWinds-hack zijn cijfers niet alles: de Russische hackers achter SolarWinds waren zeer gedisciplineerd en gingen achter specifieke hoogwaardige doelen aan, ook al hadden ze potentiële toegang tot vele duizenden.
Hetzelfde geldt hier. Zelfs als de totale aantallen alarmerend zijn, zijn niet alle compromissen catastrofaal.
Al deze zijn niet gelijk gemaakt, zegt Nickels. Er zijn kwetsbare Exchange-servers waar de deur open staat, maar we weten niet of een tegenstander er doorheen is gegaan. Er zijn enigszins gecompromitteerde servers; misschien is er een webshell gedropt, maar verder niets. Dan is er het andere uiteinde van het spectrum, waar tegenstanders vervolgactiviteit hadden en naar andere systemen verhuisden.
Het komt zelden voor dat het Witte Huis commentaar geeft op cyberbeveiligingskwesties, maar de regering-Biden heeft in de eerste twee maanden van zijn ambtsperiode, tussen de SolarWinds-hack en dit laatste incident, reden gehad om veel over hacking te praten.
We zijn bezorgd over het grote aantal slachtoffers en werken samen met onze partners om de reikwijdte hiervan te begrijpen, zei perssecretaris Jen Psaki van het Witte Huis tijdens een persconferentie op vrijdagmiddag. Netwerkeigenaren moeten ook overwegen of ze al zijn gecompromitteerd en moeten onmiddellijk passende maatregelen nemen.