Связанная с Китаем группа хакеров взломала почтовые ящики, используя недавно обнаруженные недостатки в программном обеспечении почтового сервера Microsoft. Об этом говорится в блоге компании от 2 марта.
Microsoft заявила, что хакеры использовали уязвимости в разных версиях программного обеспечения. Атаку совершила группа под названием Hafnium. По информации Microsoft, это спонсируемая Китаем организация, действующая за пределами этой страны.
Кибератака была нацелены против учреждений США, занимающихся исследованием инфекционных заболеваний, юридических фирм, высших учебных заведений, оборонных подрядчиков, аналитических центров и неправительственных организаций.
По данным компании, атаки проводились в три этапа. Сначала хакеры получали доступ к серверу Exchange с помощью украденных паролей или не выявленных ранее уязвимостей, а затем создавали вредоносный скрипт для удаленного управления взломанным сервером. Затем они использовали этот удаленный доступ с частных серверов в США для кражи данных из сети организации.
Какие учреждения подверглись атаке и удалось ли хакерам украсть какую-либо информацию, в компании не уточнили. В Microsoft отметили, что проинформировали затронутые атакой ведомства и выпустили обновление, которое должно защитить пользователей Exchange Server.
Компания Volexity, которая занимается кибербезопасностью, сообщила 2 марта, что в январе заметила, как хакеры использовали уязвимость "нулевого дня" (неустраненные уязвимости, а также вредоносные программы, против которых не разработаны защитные механизмы) на серверах Microsoft Exchange, чтобы украсть полное содержимое нескольких почтовых ящиков пользователей. Volexity отмечает, что хакерам нужно было знать только сервер, на котором запущен Exchange, и учетную запись, из которой он хочет извлечь электронную почту.
Директор разведывательного отдела компании Dell Technologies Inc. Майк Маклеллан в комментарии Reuters сказал, что Microsoft заметил внезапный всплеск активности на серверах Microsoft Exchange в ночь на воскресенье, 28 февраля, затронувший около 10 клиентов его фирмы. Атака была направлена на распространение вредоносного программного обеспечения и создание условий для более серьезного нападения, пояснил он.
В мае прошлого года Федеральное бюро расследований и Агентство кибербезопасности и защиты инфраструктуры (CISA) США обвиняло Китай в хакерском вмешательстве. Объектом атак называли тогда учреждения, разрабатывающие вакцину и лекарства против COVID-19.
Национальный центр по кибербезопасности Великобритании и американское агентство CISA говорили о росте числа хакерских атак на организации, которые задействованы в борьбе с пандемией коронавируса.
Пекин обычно отрицает факты кибератак, несмотря на то, что США и другие страны постоянно обвиняют его в этом, заключило Reuters.