Microsoft Exchange obișnuia să pirateze diplomații înainte de încălcare în 2021

La sfârșitul anului trecut, cercetătorii de la firma de securitate cibernetică Resecurity din Los Angeles au dat peste o cantitate uriașă de date furate în timp ce investigau hack-ul unui retailer italian.

Pe o platformă de stocare în cloud, cinci gigaocteți de date au fost furate în ultimii trei ani și jumătate de către ministerele de externe și companiile energetice prin pirateria serverelor Microsoft Exchange locale. În total, cercetătorii Resecurity au găsit documente și e-mailuri de la șase ministere de externe și opt companii energetice din Orientul Mijlociu, Asia și Europa de Est.

Atacurile, care nu au fost raportate anterior, au servit drept preambul la un hack remarcabil de asemănător și larg mediatizat al serverelor Microsoft Exchange din ianuarie până în martie a acestui an, potrivit Resecurity. O persoană familiarizată cu ancheta asupra atacului din 2021, care nu a fost autorizată să vorbească în public și a solicitat anonimatul, a făcut o afirmație similară, spunând că furtul de date descoperit de Resecurity a urmat aceleași metode. Hack-ul din 2021 a fost extraordinar în domeniul său de aplicare, infectând până la 60.000 de victime din întreaga lume cu malware.

Microsoft a repetat rapid atacul cibernetic din 2021 asupra unui grup de hackeri sponsorizați de stat chinezi pe care i-a numit Hafnium, iar SUA, Marea Britanie și aliații lor au făcut o declarație similară luna trecută, atribuind hackerilor afiliați guvernului chinez.

Resecuritatea nu poate spune cu certitudine că același grup a efectuat atacurile. Totuși, memoria cache a documentelor conținea informații care ar fi putut fi de interes pentru guvernul chinez, potrivit Gene Yoo, director executiv Resecurity. Persoana familiară a spus că victimele selectate de hackeri și tipul de informații adunate de atacatori au indicat, de asemenea, o operațiune chineză.

Cercetătorii din alte firme de securitate cibernetică, care au solicitat anonimatul pentru că nu au analizat toate constatările Resecurity, au avertizat că atacurile ar fi putut fi efectuate de o serie de țări interesate de diplomație în țară. Orientul Mijlociu și comunicațiile interne ale unor companii energetice influente .

Oricum, ambele campanii de hacking evidențiază modul în care defectele din popularele servere de poștă locale Microsoft, care sunt controlate de clienții care utilizează aceste sisteme, au servit de ani de zile ca un schelet cheie care permite hackerilor să deblocheze date guvernamentale și de afaceri private sensibile.

READ  Revoluția la Dacia. Cum arată noile modele Logan și Sandero. Transformările sunt radicale. FOTOGRAFIE

Guvernul chinez a respins afirmațiile potrivit cărora hackerii săi sponsorizați de stat au fost implicați într-unul dintre aceste atacuri.

„China se opune cu hotărâre oricărei forme de atac sau infiltrare online. Aceasta este poziția noastră clară și consecventă ”, a declarat Ministerul de Externe într-o declarație. „Legile chineze relevante privind colectarea și prelucrarea datelor protejează în mod clar securitatea datelor și se opun cu fermitate atacurilor cibernetice și altor activități infracționale. “

În plus, ministerul a declarat că este o „problemă tehnologică complexă” pentru a determina sursa atacurilor, adăugând că speră că mass-media va evita „speculațiile nefondate” și se va baza pe „dovezi complete pentru a determina natura evenimentelor din spațiul cibernetic”. China a propus deja un standard global de securitate a datelor și îndeamnă „toate părțile să colaboreze cu noi pentru a proteja cu adevărat securitatea globală a datelor”, se arată în declarația ministerului.

Purtătorul de cuvânt al Microsoft Corp, Jeff Jones, a declarat într-o declarație că „mulți actori de stat” vizează sistemele de e-mail pentru informații confidențiale și că echipele de securitate ale Microsoft „lucrează constant cu partenerii noștri. Securitate” pentru a identifica noi vulnerabilități care ar putea fi utilizate în atacuri viitoare .

Microsoft urmărește Hafnium, grupul pe care îl acuză de atacul din 2021, din aprilie 2020, inclusiv colectarea de date despre operațiunile sale de spionaj cibernetic, a spus Jones. Unitatea Microsoft de informații privind amenințările a urmărit de atunci mai multe campanii Hafnium și a notificat țările afectate de atacuri, potrivit Jones, care nu a identificat țările. Scopul lui Hafnium este spionajul, cu accent pe furtul de date, a spus el.

Într-o serie de încălcări cuprinse în 2017-2020, hackerii au sustras documente și e-mailuri de la ministerele de externe din Bahrain, Irak, Turcia, Oman, Egipt și Iordania, precum și e-mailuri și date de la opt companii energetice, inclusiv petrol și gaze din Malaezia. gigantul Petronas Nasional Bhd și compania indiană Hindustan Petroleum Corp., potrivit Resecurity și o revizuire a datelor furate de Bloomberg News.

Unele e-mailuri și documente par să conțină informații sensibile: cabluri diplomatice, date critice de rețea, inclusiv nume de utilizator și parole, și date de consumator privat.

De exemplu, o notă a unui atașat din Bahrain descrie o întâlnire din 9 decembrie 2018, în care diplomații asiatici de top din țară s-au întâlnit cu omologii lor chinezi, într-un moment în care China s-a confruntat cu o posibilă sesiune specială a Consiliului. Consiliul să examineze tratamentul său asupra uigurilor musulmani. La reuniune, chinezul Lin Jiming a reamintit că, cu doi ani mai devreme, țara sa a apărat propriul registru al drepturilor omului al Bahrainului într-o revizuire oficială a ONU, conform notei, care a fost transmisă ministrului afacerilor externe din Bahrain și Direcției Afacerilor Drepturilor Omului, cu o recomandare pentru a sprijini poziția Chinei.

READ  Greensill se prăbușește: Sanjeev Gupta de la GFG a căutat cumpărători pentru active inginerești

Bahrain a fost printre 37 de țări care au semnat o scrisoare la jumătatea anului 2019, susținând politicile Chinei în regiunea de vest a Xinjiang. Ședința extraordinară nu a avut loc niciodată.

Există, de asemenea, documente care detaliază actualitatea, cum ar fi memoriile interne privind schimbările de personal, rezumate de știri, o cerere de autografe pentru un ministru de externe și invitații la conferințe diplomatice, conform Resecurity și documente revizuite de Bloomberg.

Oficialii din Bahrain nu au răspuns la un mesaj care solicita comentarii. Oficialii irakieni au confirmat că guvernul a fost ținta atacurilor cibernetice, dar au declarat că nu sunt dăunători. Reprezentanții Turciei, Omanului, Egiptului și Iordaniei nu au răspuns la solicitările de comentarii. HPCL nu a răspuns.

Atacatorii au compromis, de asemenea, o serie de companii energetice, utilități și facilități de cercetare administrate de stat, care acoperă regiuni care se întind din Europa de Est până în Asia de Sud-Est, potrivit Resecurity. În plus față de datele administrative sensibile și proprietatea intelectuală, cercetătorii Resecurity au găsit, de asemenea, liste de utilizatori, permisiuni interne ale rețelei și detalii despre parolă, toate acestea putând fi utilizate de către hackeri pentru a-și extinde acoperirea. și documentele.

Pe serverele Petronas, hackerii au găsit liste de nume de utilizator și parole, conform Resecurity și documentelor. În cadrul Hindustan Petroleum, au găsit mii de înregistrări ale utilizatorilor și e-mailuri ale angajaților, au spus cercetători și documente.

Alte victime au inclus Doosan Fuel Cell Co. din Coreea; Institutul Român de Cercetări Nucleare din Pitești; Compania petrolieră de stat din Republica Azerbaidjan, cunoscută sub numele de SOCAR; Sharjah National Lube Oil Corp. din Emiratele Arabe Unite și Compania de distribuție electrică a Iordaniei și Compania Națională de Energie Electrică, conform Resecurity.

READ  Startup-ul român Tailent se extinde la nivel internațional după o investiție de jumătate de milion de euro din fondul Neogen Capital

Ca răspuns la o întrebare Bloomberg, Doosan a declarat că serverul său Exchange a fost atacat, dar hackerilor li sa împiedicat să fure date. Petronas nu a răspuns la întrebări specifice despre presupusul atac, dar a furnizat o declarație cu privire la „strategia sa robustă și cuprinzătoare de securitate cibernetică”.

Celelalte companii și unitatea de cercetare nucleară din România nu au răspuns la solicitările de comentarii.

Atacul din 2021 a venit după ce hackerii au descoperit o serie de vulnerabilități necunoscute anterior, numite zero zile, în sistemul de mesagerie Microsoft Exchange, apoi le-au folosit pentru a exploata zeci de mii de victime din întreaga lume. În timp ce răspândirea atacului a fost fără precedent, relativ puțini clienți Exchange infectați cu malware au fost vizați ulterior pentru atacuri mai invazive, cum ar fi furtul de date sau ransomware, a spus Microsoft într-o postare pe blog.

Nu se știe cum hackerii din spatele atacurilor anterioare asupra ministerelor de externe și companiilor energetice s-au infiltrat inițial în rețele.

Dar după compromisul inițial, cele două atacuri au fost aproape identice. Hackerii au instalat shell-uri web pe rețelele victimizate, care le-au permis accesul de la distanță la pagina de autentificare internă a fiecărui server. Atacatorii au folosit apoi un software open source numit Mimikatz (și o versiune modificată a lui Mimikatz) pentru a fura parolele și a stabili o conexiune în interiorul rețelei.

Astfel de metode nu sunt deosebit de unice. În schimb, aceste metode de atac generice permit hackerilor să-și ascundă urmele și au devenit o semnătură pentru grupurile de hacking guvernamentale, inclusiv unele filiale guvernamentale chineze, a declarat Ben Read, director de analiză cibernetică. – Spionaj la compania de securitate cibernetică Mandiant.

Compania de cercetare în domeniul securității Cybereason Inc. și-a lansat săptămâna aceasta propriile acuzații cu privire la hackerii chinezi. Compania a susținut că cel puțin cinci giganți ai telecomunicațiilor au fost vizați de hackeri chinezi susținuți de stat într-o operațiune care datează și din 2017. Grupurile de hackeri au furat înregistrări telefonice și date de geolocalizare prin exploatarea sistemelor, inclusiv a serverelor Microsoftt Exchange, potrivit unui raport publicat în august. . 3. Ministerul de Externe al Chinei a declarat că raportul „stârnește zvonuri politice” create de Statele Unite și aliații săi și este „făcut din nimic”.

Faci un comentariu sau dai un răspuns?

Adresa ta de email nu va fi publicată. Câmpurile obligatorii sunt marcate cu *