Microsoft обвинила китайских хакеров в атаке на компании в США через Exchange Server

Об этом говорится в блоге корпорации Microsoft.

Как известно, Microsoft Exchange Server – программный продукт для обмена сообщениями и совместной работы. Основные его функции: обработка и пересылка почтовых сообщений, доступ к календарям и задачам, поддержка мобильных устройств и веб-доступ, интеграция с системами голосовых сообщений, поддержка систем обмена мгновенными сообщениями.

В Microsoft установили, что хакеры использовали четыре уязвимости в различных версиях программного обеспечения.

По данным корпорации, атаку осуществила группа под названием Hafnium, спонсируемая Китаем.

“Хотя Hafnium базируется в Китае, но осуществляет свою деятельность преимущественно с арендованных виртуальных частных серверов (VPS) в США”, – уточнили в компании.

В Microsoft отметили, что деятельность хакеров Hafnium в первую очередь нацелена против учреждений в США, которые занимаются исследованием инфекционных заболеваний, юридических фирм, высших учебных заведений, оборонных подрядчиков, аналитических центров и неправительственных организаций. Цель атак – похищение информации.

В компании сообщили, что в последнее время Hafnium осуществила ряд атак, используя ранее неизвестные эксплойты, нацеленные на локальное программное обеспечение Exchange Server. Эксплойт – это компьютерная программа, фрагмент программного кода или последовательность команд, использующие уязвимости в программном обеспечении и предназначенные для проведения кибератак.

В случае с атаками Hafnium речь идет о так называемых “эксплойтах нулевого дня” – уязвимостях программного обеспечения, которые еще неизвестны пользователям или разработчикам программного обеспечения и против которых еще не разработаны механизмы защиты.

“В указанных атаках злоумышленники использовали эти уязвимости для доступа к локальным серверам Exchange, которые обеспечивали доступ к учетным записям электронной почты и позволяли устанавливать дополнительные вредоносные программы для облегчения долгосрочного доступа. Microsoft Threat Intelligence Center (MSTIC) с высокой степенью уверенности приписывает эту кампанию Hafnium, группе, которая, по оценкам, спонсируется Китаем и действует за пределами страны”, – говорится в сообщении.

По данным Microsoft, хакеры осуществляли атаки в три этапа. Сначала они получили доступ к серверам Exchange. Для этого, вероятно, использовались украденные пароли или еще не обнаруженные уязвимости.

Затем хакеры создали скрипт для удаленного управления сервером, после чего попытались похитить корпоративные данные.

Какие учреждения подверглись кибератаке и удалось ли хакерам похитить какую-то информацию, в корпорации не уточнили.

В Microsoft отметили, что проинформировали госучреждения США об этих атаки, а также выпустили обновление, которое должно защитить пользователей Exchange Server.

“Exchange Server в основном используется бизнес-клиентами, и мы не имеем доказательств того, что деятельность Hafnium направлена на отдельных потребителей или что это влияет на другие продукты Microsoft”, – уточнили в компании.

Также отмечается, что атаки Hafnium не связаны с атакой SolarWinds, в результате которой пострадали десятки компаний, а также федеральные ведомства США.

Директор разведывательного отдела компании Dell Technologies Inc. Майк Маклеллан в комментарии агентству Reuters сообщил, что накануне объявления Microsoft заметил внезапный всплеск активности на серверах Microsoft Exchange в ночь на воскресенье, 28 февраля, что затронула примерно 10 клиентов его фирмы.

По его словам, атака была направлена на распространение вредоносного программного обеспечения и создание условий для более серьезного “вторжения”.

Посольство Китая в Вашингтоне пока не прокомментировало Reuters заявление компании Microsoft.

• В январе американские спецслужбы официально заявили, что подозревают российских хакеров в осуществлении масштабной кибератаки на федеральные ведомства США, о которой стало известно в декабре 2020 года. Речь идет об атаке через программное обеспечение компании SolarWinds. Предполагается, что хакеры установили так называемый бэкдор (несанкционированный удаленный доступ к компьютеру) в широко используемом программном обеспечении SolarWinds. Клиентами компании являются множество правительственных учреждения и крупных фирм, всего около 18 тысяч.
• Глава компании Microsoft Брэд Смит заявил, что хакерская атака, которая использовала американскую технологическую компанию SolarWinds в качестве базы для взлома систем ряда американских государственных учреждений, стала крупнейшей в истории.
• В Вашингтоне пообещали ответить на совершенные Россией кибератаки на американскую инфраструктуру в течение нескольких недель.