Китайские хакеры ограбили почтовые ящики, используя уязвимости в программном обеспечении сервера Microsoft Exchange

Источник · Перевод автора

(Reuters) – Связанная с Китаем группа кибершпионажа удаленно грабила почтовые ящики с использованием недавно обнаруженных недостатков в программном обеспечении почтового сервера Microsoft, как заявили во вторник компания и сторонние исследователи, – пример того, как можно использовать часто используемые программы для широкого распространения информации. онлайн.

В сообщении в блоге Microsoft сообщила, что хакерская кампания использовала четыре ранее необнаруженные уязвимости в различных версиях программного обеспечения и была результатом работы группы, которую она называет HAFNIUM, которую она описала как спонсируемую государством организацию, действующую за пределами Китая.

В отдельном сообщении в блоге компания Volexity, занимающаяся кибербезопасностью, сообщила, что в январе она увидела, как хакеры использовали одну из уязвимостей для удаленной кражи «всего содержимого нескольких почтовых ящиков пользователей». Все, что им нужно было знать, – это детали сервера Exchange и учетной записи, которую они хотели ограбить, сказал Volexity.

Китай выступает против всех форм кибератак, заявил официальный представитель министерства иностранных дел Китая Ван Вэньбинь (Wang Wenbin) на брифинге в Пекине в среду.

«Китай желает, чтобы соответствующие СМИ и компании заняли профессиональное и ответственное отношение и основывали характеристики кибератак на достаточных доказательствах, а не на безосновательных догадках и обвинениях», – сказал он.

В преддверии объявления Microsoft все более агрессивные действия хакеров начали привлекать внимание всего сообщества кибербезопасности.

Майк Маклеллан (Mike McLellan), директор по разведке Secureworks компании Dell Technologies, накануне объявления Microsoft заявил, что он заметил внезапный всплеск активности на серверах Exchange в ночь на воскресенье, в результате чего пострадали около 10 клиентов его фирмы.

Набор продуктов Microsoft находится под пристальным вниманием со времени взлома SolarWinds, фирмы-разработчика программного обеспечения из Техаса, которая послужила плацдармом для нескольких вторжений в правительство и частный сектор. В других случаях хакеры воспользовались тем, как клиенты настроили свои службы Microsoft, чтобы скомпрометировать свои цели или углубиться в уязвимые сети.

Хакеры, преследовавшие SolarWinds, также взломали сам Microsoft, получив доступ и загрузив исходный код, включая элементы Exchange, электронную почту и календарь компании.

Маклеллан сказал, что на данный момент хакерская деятельность, по-видимому, сосредоточена на распространении вредоносного программного обеспечения и создании условий для потенциально более глубокого вторжения, а не на немедленном агрессивном проникновении в сети.

«Мы еще не наблюдали какой-либо последующей деятельности», – сказал он. «Мы собираемся обнаружить, что многие компании пострадали, но меньшее количество компаний подверглось эксплуатации».

Microsoft заявила, что в число целей входили исследователи инфекционных заболеваний, юридические фирмы, высшие учебные заведения, подрядчики оборонной промышленности, аналитические центры и неправительственные группы.