Fyra nya hackergrupper har anslutit sig till en pågående offensiv mot Microsofts e-postservrar

Foto av Matthew Manuel på Unsplash





En hackningskampanj kopplad till den kinesiska regeringen som avslöjades av Microsoft denna vecka har ökat snabbt. Minst fyra andra distinkta hackningsgrupper attackerar nu kritiska brister i Microsofts e-postprogram i en cyberkampanj som den amerikanska regeringen beskriver som utbredd inhemsk och internationell exploatering med potentiell påverkan på hundratusentals offer världen över.

Med början i januari 2021 började kinesiska hackare kända som Hafnium utnyttja sårbarheter i Microsoft Exchange-servrar. Men eftersom företaget offentligt avslöjat Kampanjen på tisdagen har ytterligare fyra grupper anslutit sig, och de ursprungliga kinesiska hackarna har släppt anspråken på smygande och ökat antalet attacker de utför. Den växande listan över offer inkluderar tiotusentals amerikanska företag och regeringskontor som de nya grupperna riktar sig till.

Det finns minst fem olika aktivitetskluster som verkar utnyttja sårbarheterna, säger Katie Nickels, som leder ett underrättelseteam på cybersäkerhetsföretaget Red Canary som undersöker hacken. När de spårar cyberhot grupperar underrättelseanalytiker kluster av hackningsaktivitet efter de specifika tekniker, taktiker, procedurer, maskiner, människor och andra egenskaper de observerar. Det är ett sätt att spåra hackinghoten de möter.



Hafnium är en sofistikerad kinesisk hackergrupp som länge har drivit cyberspionagekampanjer mot USA, enligt Microsoft. De är ett apex-rovdjur - exakt den sorten som alltid följs tätt av opportunistiska och smarta asätare.

Aktiviteten kom snabbt i högre växel när Microsoft gjorde sitt tillkännagivande på tisdagen. Men exakt vilka dessa hackningsgrupper är, vad de vill ha och hur de kommer åt dessa servrar är fortfarande oklart. Det är möjligt att den ursprungliga Hafnium-gruppen sålde eller delade med sig av sin exploateringskod eller att andra hackare omvandlade exploateringen baserat på de korrigeringar som Microsoft släppte, förklarar Nickels.

Utmaningen är att det här är så grumligt och det finns så mycket överlappning, säger Nickels. Vad vi har sett är att från när Microsoft publicerade om Hafnium, har det utökats till mer än bara Hafnium. Vi har sett aktivitet som ser annorlunda ut än taktik, tekniker och procedurer från vad de rapporterade om.



Genom att utnyttja sårbarheter i Microsoft Exchange-servrar, som organisationer använder för att driva sina egna e-posttjänster, kan hackare skapa ett webbskal – ett fjärrtillgängligt hackverktyg som enkelt möjliggör bakdörrsåtkomst och kontroll av den infekterade maskinen – som gör att de kan kontrollera den komprometterade servern över internet och sväng sedan för att stjäla data från hela deras måls nätverk. Webbskalet innebär att även om Microsoft har utfärdat korrigeringar för bristerna – som endast 10 % av Exchange-kunderna hade tillämpat på fredagen, enligt företaget – har motståndaren fortfarande bakdörrsåtkomst till sina mål.

Att tillämpa Microsofts programfixar är ett avgörande första steg, men den totala saneringsinsatsen kommer att bli mycket mer komplicerad för många potentiella offer, särskilt när hackarna rör sig fritt till andra system i nätverket.

Vi arbetar nära med CISA [Cybersecurity and Infrastructure Security Agency], andra statliga myndigheter och säkerhetsföretag, för att säkerställa att vi tillhandahåller bästa möjliga vägledning och begränsning för våra kunder, säger en talesperson för Microsoft. Det bästa skyddet är att tillämpa uppdateringar så snart som möjligt för alla påverkade system. Vi fortsätter att hjälpa kunder genom att tillhandahålla ytterligare utrednings- och begränsningsvägledning. Berörda kunder bör kontakta våra supportteam för ytterligare hjälp och resurser.



Med flera grupper som nu attackerar sårbarheterna, förväntas hacken oproportionerligt påverka organisationer som har minst råd att försvara sig mot dem, som småföretag, skolor och lokala myndigheter, sa tidigare amerikanska cybersäkerhetstjänstemannen Chris Krebs.

Men varför? Krebs frågade på Twitter. Är detta en flex i början av Biden-administratören för att testa sin beslutsamhet? Är det ett utomkontrollerat cyberbrottsgäng? Entreprenörer gått vilda?

Att återhämta sig från SolarWinds-hacket kan ta 18 månader

Chefen för den byrå som leder USA:s ansträngningar för att fixa en rysk hackingattack säger att återuppbyggnaden kommer att ta mycket lång tid.



Med potentiellt hundratusentals offer över hela världen har denna Exchange-hackningskampanj påverkat fler mål än SolarWinds-hacket som den amerikanska regeringen för närvarande är kämpar att städa. Men, som med SolarWinds-hacket, är siffror inte allt: de ryska hackarna bakom SolarWinds var mycket disciplinerade och gick efter specifika högvärdiga mål även om de hade potentiell tillgång till många tusentals.

Detsamma gäller här. Även om det totala antalet är alarmerande är inte alla kompromisser katastrofala.

Alla dessa är inte skapade lika, säger Nickels. Det finns sårbara Exchange-servrar där dörren är öppen men vi vet inte om en motståndare har gått igenom den. Det finns något komprometterade servrar; kanske ett webbskal tappas, men inget utöver det. Sedan finns det andra änden av spektrumet, där motståndarna hade efterföljande aktivitet och flyttade till andra system.

Det är sällsynt att Vita huset kommenterar cybersäkerhetsfrågor, men Biden-administrationen har haft anledning att prata mycket om hacking under sina första två månader i tjänst, mellan SolarWinds-hacket och den senaste incidenten.

Vi är oroade över att det finns ett stort antal offer och arbetar med våra partners för att förstå omfattningen av detta, sa Vita husets pressekreterare Jen Psaki under en presskonferens på fredagseftermiddagen. Nätägare måste också överväga om de redan har äventyrats och bör omedelbart vidta lämpliga åtgärder.

Dölj