Про це йдеться у блозі корпорації Microsoft.

Як відомо, Microsoft Exchange Server – програмний продукт для обміну повідомленнями та спільної роботи. Основні його функції: обробка і пересилання поштових повідомлень, спільний доступ до календарів і завдань, підтримка мобільних пристроїв і веб-доступ, інтеграція з системами голосових повідомлень, підтримка систем обміну миттєвими повідомленнями.

У Microsoft встановили, що хакери використали чотири вразливості в різних версіях програмного забезпечення.

За даними корпорації, атаку здійснила група з назвою Hafnium, що спонсорується Китаєм.

“Хоча Hafnium базується в Китаї, але здійснює свою діяльність переважно з орендованих віртуальних приватних серверів (VPS) у США”, – уточнили в корпорації.

У Microsoft наголосили, що діяльність хакерів Hafnium у першу чергу націлена проти установ у США, які займаються дослідженням інфекційних захворювань, юридичних фірм, вищих навчальних закладів, оборонних підрядників, аналітичних центрів та неурядових організацій. Мета атак – викрадення інформації.

У компанії поінформували, що останнім часом Hafnium здійснила низку атак, використовуючи раніше невідомі експлойти, націлені на локальне програмне забезпечення Exchange Server. Експлойт – це комп’ютерна програма, фрагмент програмного коду або послідовність команд, що використовують вразливості в програмному забезпеченні та призначені для проведення кібератак.

У випадку з атаками Hafnium йдеться про так звані “експлойти нульового дня” – вразливості програмного забезпечення, які ще невідомі користувачам чи розробникам програмного забезпечення та проти яких ще не розроблені механізми захисту.

“У зазначених атаках зловмисники використовували ці вразливості для доступу до локальних серверів Exchange, які забезпечували доступ до облікових записів електронної пошти і дозволяли встановлювати додаткові шкідливі програми для полегшення довгострокового доступу. Microsoft Threat Intelligence Center (MSTIC) з високим ступенем упевненості приписує цю кампанію Hafnium, групі, яка, за оцінками, спонсорується Китаєм і діє за межами країни”, – йдеться в повідомленні.

За даними Microsoft, хакери здійснювали атаки в три етапи. Спочатку вони отримали доступ до серверів Exchange. Для цього, імовірно, використовувалися вкрадені паролі або ще не виявлені вразливості.

Потім хакери створили скрипт для віддаленого управління сервером, після чого спробували викрасти корпоративні дані.

Які установи зазнали кібератаки та чи вдалося хакерам викрасти якусь інформацію, у корпорації не уточнили.

У Microsoft наголосили, що проінформували держустанови США про ці атаки, а також випустили оновлення, яке має захистити користувачів Exchange Server.

“Exchange Server в основному використовується бізнес-клієнтами, і ми не маємо доказів того, що діяльність Hafnium спрямована на окремих споживачів або що це впливає на інші продукти Microsoft”, – уточнили в корпорації.

Також наголошується, що атаки Hafnium не пов’язані з атакою SolarWinds, в результаті якої постраждали десятки компаній, а також федеральні відомства США.

Директор розвідувального відділу компанії Dell Technologies Inc. Майк Маклеллан у коментарі агентству Reuters повідомив, що напередодні оголошення Microsoft помітив раптовий сплеск активності на серверах Microsoft Exchange у ніч на неділю, 28 лютого, що торкнулася приблизно 10 клієнтів його фірми.

За його словами, атака була спрямована на поширення шкідливого програмного забезпечення і створення умов для серйознішого “вторгнення”.

Посольство Китаю у Вашингтоні поки не прокоментувало Reuters заяву компанії Microsoft.

  • У січні американські спецслужби офіційно заявили, що підозрюють російських хакерів у здійсненні масштабної кібератаки на федеральні відомства США, про яку стало відомо в грудні 2020 року. Йдеться про атаку через програмне забезпечення компанії SolarWinds. Передбачається, що хакери встановили так званий бекдор (несанкціонований віддалений доступ до комп’ютера) в широко використовуваному програмному забезпеченні SolarWinds. Клієнтами компанії є безліч урядових установ і великих фірм, всього близько 18 тисяч.
  • Голова компанії Microsoft Бред Сміт заявив, що хакерська атака, яка використовувала американську технологічну компанію SolarWinds в якості бази для злому систем ряду американських державних установ, стала найбільшою в історії.
  • У Вашингтоні пообіцяли відповісти на вчинені Росією кібератаки на американську інфраструктуру протягом декількох тижнів.