Из Википедии, бесплатной энциклопедии
Перейти к навигации Перейти к поиску

2021 утечка данных Microsoft Exchange Server
Дата
  • 5 января 2021 г. (первое сообщение об эксплойте) [1]
  • 6 января 2021 г. (обнаружено первое нарушение) [1] [2]
  • 2 марта 2021 г. (нарушение признано) [3]
Место расположенияГлобальный
ТипКибератака , утечка данных
Причина Уязвимости нулевого дня Microsoft Exchange Server [4]
Первый репортерMicrosoft (публичное раскрытие) [3]
ПодозреваемыеГафний [5] [6] и не менее девяти других. [7]

Глобальная волна кибератак и утечек данных началась в январе 2021 года после того, как четыре эксплойта нулевого дня были обнаружены на локальных серверах Microsoft Exchange Server , что дало злоумышленникам полный доступ к электронной почте и паролям пользователей на затронутых серверах, права администратора на самом сервере и доступ. подключенным устройствам в одной сети. Злоумышленники обычно устанавливают бэкдор, который позволяет злоумышленнику получить полный доступ к затронутым серверам, даже если сервер позже будет обновлен, чтобы он больше не был уязвим для исходных эксплойтов. По состоянию на 9 марта 2021 г., Было подсчитано , что 250000 серверы стали жертвами нападений, в том числе серверов , принадлежащих примерно 30 000 организаций в Соединенных Штатах , 7000 серверов в Великобритании , [8] , а также European Banking Authority и норвежский парламент . [9] [10] [11]

Известно, что главными жертвами атак являются малый и средний бизнес, местные учреждения и органы местного самоуправления, поскольку они часто передают ИТ-услуги местным поставщикам, не имеющим опыта кибератак и имеющим меньшие бюджеты для защиты от киберугроз. [12]

С 12 марта 2021 года , Microsoft объявила об открытии «нового семейства вымогателей » развертывается на серверах изначально инфицированных, шифрование всех файлов, что делает сервер неработоспособным и требуя оплаты отменить ущерб. [13]

Фон [ править ]

Microsoft Exchange считается важной целью для хакеров, стремящихся проникнуть в бизнес-сети, поскольку это программное обеспечение почтового сервера, и, по словам Microsoft, он предоставляет «уникальную среду, которая может позволить злоумышленникам выполнять различные задачи, используя одни и те же встроенные инструменты. или сценарии, которые администраторы используют для обслуживания ". [14] В прошлом Microsoft Exchange подвергался атакам со стороны нескольких групп национальных государств. [15] [16]

5 января 2021 года компания DEVCORE, занимающаяся тестированием безопасности, предоставила Microsoft самый ранний из известных отчетов об уязвимости, который Microsoft проверила 8 января. [17] Первое нарушение экземпляра Microsoft Exchange Server было замечено кибербезопасной компанией Volexity 6 января 2021 года. [1] По данным Microsoft, атака была первоначально совершена хакерской группой Hafnium , которую Microsoft якобы является «государственной спонсируется и действует из Китая ". [5] [18] [6]К концу января компания Volexity, занимающаяся кибербезопасностью, обнаружила нарушение, позволяющее злоумышленникам шпионить за двумя своими клиентами, и предупредила Microsoft об уязвимости. После того, как Microsoft была предупреждена о взломе, Volexity отметила, что хакеры стали менее скрытными в ожидании патча. [18]

Другая компания, занимающаяся кибербезопасностью, ESET, написала 2 марта, что они наблюдали за несколькими злоумышленниками, помимо Hafnium, которые использовали уязвимости. [4] 10 марта Wired сообщила, что теперь, когда уязвимость исправлена, гораздо больше злоумышленников собираются перепроектировать исправление, чтобы использовать все еще уязвимые серверы. Аналитики двух фирм по безопасности сообщили, что они начали видеть доказательства того, что злоумышленники готовились запустить программное обеспечение для криптомайнинга на серверах. На момент публикации не было опубликовано ни одного экспериментального эксплойта, но Wired написал, что несколько исследователей заявили, что публикация экспериментального эксплойта была «неизбежностью», которая позволила бы гораздо большему количеству злоумышленников скомпрометировать непропатченные серверы.[19]

Атаки произошли вскоре после утечки данных федерального правительства США в 2020 году , в результате которой были также скомпрометированы веб-приложение Microsoft Outlook и цепочка поставок . Microsoft отрицала какую-либо связь между двумя инцидентами. [20]

Методология [ править ]

Хакеры воспользовались четырьмя отдельными уязвимостями нулевого дня, чтобы скомпрометировать Outlook Web Access (OWA) серверов Microsoft Exchange [2] , [2] предоставив им доступ ко всем серверам и сетям жертв, а также к электронным письмам и приглашениям в календаре [4] только по адресу сначала требуется адрес сервера, который может быть напрямую выбран или получен путем массового сканирования уязвимых серверов, а также любая допустимая комбинация электронной почты и пароля, которая обычно получается путем заполнения учетных данных . После успешного входа в систему как любой пользователь злоумышленники могут взять идентификатор сеанса ASP.NET и ViewStateGenerator непосредственно с сервера и, передав их обратно на сервер, OWAУязвимость SSRF может быть использована, позволяя злоумышленникам удаленно подключаться к серверу и выдавать себя за администраторов, получая их привилегии . [21] Затем злоумышленники устанавливают веб-оболочку , обеспечивающую бэкдор для скомпрометированного сервера [22], который дает хакерам постоянный доступ к серверу, пока веб-оболочка остается активной, а сервер Exchange остается включенным. [23]

Через установленную злоумышленниками веб-оболочку можно выполнять команды удаленно. Среди наблюдаемых действий - загрузка всех электронных писем с серверов, доступ и загрузка незашифрованных паролей открытого текста и адресов электронной почты пользователей, которые хранятся в памяти , добавление пользователей, добавление дополнительных бэкдоров в затронутые системы, доступ к другим системам в сети, которые являются невосприимчивыми. к исходному эксплойту и установке вымогателя . [24] [7] Поскольку исправление сервера Exchange против эксплойта не приводит к удалению установленных бэкдоров задним числом, злоумышленники продолжают иметь доступ к серверу до тех пор, пока веб-оболочка, другие бэкдоры и учетные записи пользователей, добавленные злоумышленниками, не будут удалены. [25]

По состоянию на 12 марта 2021 года существует не менее десяти отдельных групп, использующих уязвимости, включая Hafnium . Каждый использует разные стили и разные процедуры. [26] [23] 27 и 28 февраля 2021 года произошла автоматическая атака, а 2 и 3 марта 2021 года злоумышленники использовали сценарий для возврата по адресам, чтобы сбросить веб-оболочку, чтобы они могли вернуться позже. [23] Ссылаясь на неделю, закончившуюся 7 марта, соучредитель CrowdStrike Дмитрий Альперович заявил: «Все возможные жертвы, которые не были исправлены до середины и конца прошлой недели, уже были поражены как минимум одним или несколькими актерами. [27]После анонса патча изменилась тактика при использовании той же цепочки уязвимостей. [23] [28]

Подтверждена уязвимость версий Microsoft Exchange Server 2010, 2013, 2016 и 2019, хотя уязвимые выпуски еще не полностью определены. [29] Облачные сервисы Exchange Online и Office 365 не затронуты. [30]

Воздействие [ править ]

Хакеры использовали уязвимости, чтобы шпионить за широким кругом целей, затронув примерно 250 000 серверов. [11] [31] Том Берт из Microsoft написал в своем блоге, что целевыми объектами были исследователи болезней, юридические бюро, университеты, подрядные организации, неправительственные организации и аналитические центры . [32] [9] [33] Атака была обнаружена после того, как злоумышленники загрузили все электронные письма, принадлежащие конкретным пользователям, на отдельные корпоративные серверы Exchange. [24] Неизвестный вашингтонский аналитический центр сообщил, что злоумышленники отправляли убедительные электронные письма контактам в социальной инженерии.атака, побуждающая получателей перейти по ссылке. [33] 11 марта 2021 года парламент Норвегии Стортинг сообщил, что стал жертвой взлома, заявив, что «данные были извлечены». [34]

Известно, что в первую очередь жертвами атаки становятся малые и средние предприятия, а также местные учреждения, такие как школы и органы местного самоуправления, поскольку они обычно работают с небольшими бюджетами, чтобы бороться с киберугрозами и передают свои ИТ местным компаниям, не имеющим опыта в области кибербезопасности. Отмечается, что пострадавшие в сельской местности «в основном сами по себе», поскольку обычно не имеют доступа к поставщикам ИТ-услуг. [12] 11 марта 2021 года компания Check Point Research показала, что за предыдущие 24 часа «количество попыток эксплуатации отслеживаемых ею организаций утроилось каждые два-три часа». [35] [36]

European Banking Authority также сообщила , что она была направлена в атаке, [10] позже заявив в пресс - релизе , что сфера влияния на своих систем было «ограничено» и что «конфиденциальность системы EBA и данных не было скомпрометирован ". [37]

Компания по обеспечению безопасности ESET выявила «не менее 10» постоянных групп серьезных угроз, угрожающих ИТ, кибербезопасности, энергетике, разработке программного обеспечения, коммунальным предприятиям , недвижимости, телекоммуникациям и инженерным предприятиям, а также правительственным учреждениям Ближнего Востока и Южной Америки. Была выявлена ​​одна группа APT, развертывающая загрузчики PowerShell с использованием затронутых серверов для майнинга криптовалюты. [26] Генеральный директор Cybereason Лиор Див отметил, что APT-группа Hafnium «нацелена на малые и средние предприятия ... Нападение на Microsoft Exchange в 1000 раз более разрушительное, чем атака SolarWinds ». [38]

12 марта 2021 года служба безопасности Майкрософт объявила о развертывании «нового семейства программ- вымогателей » под названием DearCry на изначально зараженных серверах, которые шифруют содержимое устройства, делают серверы непригодными для использования и требуют оплаты за восстановление файлов. [13] Microsoft заявила: «Нет никакой гарантии, что уплата выкупа предоставит вам доступ к вашим файлам». [39]

Ответы [ править ]

2 марта 2021 года Microsoft Security Response Center (MSRC) публично опубликовал внеполосный выпуск Common Vulnerabilities and Exposures (CVE), призывая своих клиентов исправлять свои серверы Exchange для устранения ряда критических уязвимостей . [3]

3 марта 2021 года Агентство по кибербезопасности и безопасности инфраструктуры США (CISA) издало чрезвычайную директиву, заставляющую государственные сети обновляться до исправленной версии Exchange. 8 марта CISA опубликовала в Твиттере то, что NBC News назвала «необычно откровенным сообщением», призывая «ВСЕ организации во ВСЕХ секторах» устранить уязвимости. [40] [41]

Другие официальные органы, выразившие озабоченность, включали Белый дом , Управление национальной безопасности Норвегии и Управление по кибербезопасности и информационной безопасности Чешской Республики. [42] [43] 7 марта 2021 года CNN сообщила, что администрация Байдена должна сформировать целевую группу для устранения нарушения; [44] администрация Байдена пригласила организации частного сектора к участию в рабочей группе и предоставит им секретную информацию по мере необходимости. Советник по национальной безопасности США Джейк Салливан заявил, что США пока не могут возложить на себя ответственность за теракты. [35]

Китай отрицает свою причастность к атакам, называя утверждения Microsoft о причастности к атакам «безосновательными». [18] [45]

См. Также [ править ]

  • Китайская кибервойна
  • Китайский шпионаж в США
  • Кибервойна в США
  • Раскрытие информации о глобальном эпиднадзоре (с 2013 г. по настоящее время)
  • Список утечек данных
  • Утечка данных федерального правительства США 2020 г.

Ссылки [ править ]

  1. ^ a b c Кребс, Крис (5 марта 2021 г.). «По крайней мере, 30 000 американских организаций недавно взломали дыры в программном обеспечении электронной почты Microsoft» . Кребс о безопасности . Проверено 10 марта 2021 года .
  2. ^ a b Гринберг, Энди (5 марта 2021 г.). «Китайская хакерская активность поразила« астрономическое »число жертв» . Проводной . ISSN 1059-1028 . Проверено 10 марта 2021 года . 
  3. ^ a b c «Выпущено несколько обновлений безопасности для сервера Exchange» . Центр поддержки безопасности Майкрософт . 2 марта 2021 . Проверено 10 марта 2021 года .
  4. ^ a b c Кольер, Кевин (3 марта 2021 г.). «США выпустили предупреждение после того, как Microsoft сообщила, что Китай взломал программу почтового сервера» . NBC News . Проверено 10 марта 2021 года .
  5. ^ a b «Microsoft обвиняет Китай в кибератаках по электронной почте» . BBC News . 3 марта 2021 . Проверено 10 марта 2021 года .
  6. ^ a b «HAFNIUM нацелен на серверы Exchange с эксплойтами нулевого дня» . Безопасность Microsoft . 2 марта 2021 . Проверено 10 марта 2021 года .
  7. ^ a b «Хакеры, сканирующие уязвимые серверы Microsoft Exchange, исправьте сейчас!» . BleepingComputer . Проверено 11 марта 2021 года .
  8. ^ «Взлом Microsoft: 3000 британских почтовых серверов остаются незащищенными» . BBC News . 12 марта 2021 . Проверено 12 марта 2021 года .
  9. ^ a b Мерфи, Ханна (9 марта 2021 г.). «Взлом Microsoft увеличивается, поскольку преступные группировки спешат использовать недостатки» . Financial Times . Проверено 10 марта 2021 года .
  10. ^ a b О'Доннелл, Джон (8 марта 2021 г.). «Европейский банковский регулятор EBA стал жертвой взлома Microsoft» . Рейтер . Проверено 10 марта 2021 года .
  11. ^ a b Даффи, Клэр (10 марта 2021 г.). «Вот что мы знаем о массовом взломе Microsoft Exchange» . CNN . Проверено 10 марта 2021 года .
  12. ^ a b «Малые предприятия Америки сталкиваются с основной тяжестью взломов китайских серверов Exchange» . TechCrunch . Проверено 12 марта 2021 года .
  13. ^ a b «Microsoft предупреждает об атаках программ-вымогателей по мере роста взлома Exchange» . ЭТО ПРО . Проверено 12 марта 2021 года .
  14. ^ «Как злоумышленники атакуют и используют серверы Microsoft Exchange» . Справка Net Security . 25 июня 2020 . Проверено 14 марта 2021 года .
  15. ^ Чимпану, Каталин. «Множество национальных группировок взламывают серверы Microsoft Exchange» . ZDNet . Проверено 14 марта 2021 года .
  16. ^ Чимпану, Каталин. «Российские кибершпионы используют чертовски умный бэкдор Microsoft Exchange» . ZDNet . Проверено 14 марта 2021 года .
  17. Кребс, Крис (8 марта 2021 г.). «Базовый график массового взлома биржи» . Кребс о безопасности . Проверено 10 марта 2021 года .
  18. ^ a b c Кевин, Коллиер (9 марта 2021 г.). « « Действительно беспорядочно »: почему взлом почтовой системы Microsoft становится все хуже» . NBC News .
  19. Ньюман, Лили Хэй (10 марта 2021 г.). «Сезон открыт для взломов Microsoft Exchange Server» . Проводной . ISSN 1059-1028 . Проверено 10 марта 2021 года . 
  20. ^ «Взлом Microsoft: Белый дом предупреждает об« активной угрозе »атаки по электронной почте» . BBC News . 6 марта 2021 . Проверено 10 марта 2021 года .
  21. ^ "ProxyLogon" . ProxyLogon (на китайском языке) . Проверено 11 марта 2021 года .
  22. ^ «Microsoft заявляет, что поддерживаемые Китаем хакеры используют Exchange нулевого дня» . TechCrunch . Проверено 10 марта 2021 года .
  23. ^ a b c d "Гафний застывает: морось в феврале, наводнение в марте" . СК Медиа . 8 марта 2021 . Проверено 10 марта 2021 года .
  24. ^ a b «Операция Exchange Marauder: активное использование множества уязвимостей нулевого дня Microsoft Exchange | Volexity» . www.volexity.com . Проверено 11 марта 2021 года .
  25. ^ «30 000 американских организаций, взломанных кибершпионажной группой Hafnium» . Журнал безопасности . 9 марта 2021 . Проверено 10 марта 2021 года .
  26. ^ a b «Все больше хакерских групп присоединяются к безумным атакам Microsoft Exchange» . BleepingComputer . Проверено 11 марта 2021 года .
  27. ^ «Преступные хакерские группы набирают обороты для обострения кризиса Microsoft Exchange» . AppleInsider . Проверено 11 марта 2021 года .
  28. ^ «Четыре новые хакерские группы присоединились к продолжающемуся наступлению на почтовые серверы Microsoft» . Обзор технологий Массачусетского технологического института . Проверено 10 марта 2021 года .
  29. ^ Hollister, Шон (8 марта 2021). «Microsoft предупредили несколько месяцев назад - теперь взлом Hafnium вырос до гигантских размеров» . Грань . Проверено 10 марта 2021 года .
  30. ^ NOVET, Иордания (9 марта 2021). «Большой взлом электронной почты Microsoft: что произошло, кто это сделал и почему это важно» . CNBC . Проверено 15 марта 2021 года .
  31. О'Доннелл, Джон (8 марта 2021 г.). «Европейский банковский регулятор EBA стал жертвой взлома Microsoft» . Рейтер . Проверено 10 марта 2021 года .
  32. Берт, Том (2 марта 2021 г.). «Новые кибератаки национальных государств» . Microsoft о проблемах . Проверено 10 марта 2021 года .
  33. ^ a b «Жертвы взлома Microsoft пытаются заткнуть дыры в безопасности» . CBS News . 9 марта 2021 г.
  34. ^ «Å nei! Норвежский Стортингет поражен вредоносным ПО Microsoft Exchange» . www.theregister.com . Проверено 11 марта 2021 года .
  35. ^ a b CNN, Брайан Фанг и Алекс Марквардт. «Белый дом предупреждает, что у организаций есть« часы, а не дни »на устранение уязвимостей по мере увеличения количества атак на Microsoft Exchange» . KMOV.com . Проверено 13 марта 2021 года .
  36. ^ «Количество эксплойтов в организациях по всему миру утроилось каждые два часа после того, как Microsoft раскрыла четыре нулевых дня» . Программное обеспечение Check Point . 11 марта 2021 . Проверено 13 марта 2021 года .
  37. ^ «Кибератака на Европейское банковское управление - ОБНОВЛЕНИЕ 3» . Европейское банковское управление . 9 марта 2021 . Проверено 11 марта 2021 года .
  38. 8 марта, Лэнс Уитни в службе безопасности; 2021; Пст, 12:49 «Как взлом Microsoft Exchange может повлиять на вашу организацию» . TechRepublic . Проверено 11 марта 2021 года .CS1 maint: числовые имена: список авторов ( ссылка )
  39. ^ «Выкуп: Win32 / DoejoCrypt.A» . Microsoft Security Intelligence . 11 марта 2021 . Проверено 12 марта 2021 года .
  40. ^ @USCERT_gov (9 марта 2021 г.). «Объявление CISA» (твит) - через Twitter .
  41. ^ «Устранение уязвимостей Microsoft Exchange» . Агентство по кибербезопасности и безопасности инфраструктуры . Проверено 10 марта 2021 года .
  42. Мерфи, Ханна (5 марта 2021 г.). «Белый дом предупреждает о« большом количестве »жертв в результате взлома Microsoft» . Financial Times .
  43. ^ Vavra, Shannon (5 марта 2021). «Появляются жертвы нулевого дня Microsoft Exchange Server» . CyberScoop . Проверено 10 марта 2021 года .
  44. Марквардт, Алекс (6 марта 2021 г.). «Администрация Байдена рассчитывала сформировать рабочую группу для борьбы с хакерскими атаками Microsoft, связанными с Китаем» . CNN . Проверено 10 марта 2021 года .
  45. ^ «Очередная пресс-конференция официального представителя МИД Ван Вэньбиня 3 марта 2021 г.» . Министерство иностранных дел Китайской Народной Республики . 3 марта 2021 . Проверено 10 марта 2021 года .