Hur Kinas attack mot Microsoft eskalerade till en vårdslös hackingspree

Microsofts president Brad Smith vittnar för kongressen

Demetrius Freeman-Pool/Getty Images





Till en början drev de kinesiska hackarna en försiktig kampanj. Under två månader utnyttjade de svagheter i Microsoft Exchanges e-postservrar, valde sina mål noggrant och stal hela brevlådor i smyg. När utredarna så småningom hörde av sig såg det ut som typiskt onlinespionage – men sedan accelererade saker och ting dramatiskt.

Runt den 26 februari övergick den smala operationen till något mycket större och mycket mer kaotiskt. Bara några dagar senare avslöjade Microsoft hackarna offentligt – hackarna är nu kända som Hafnium – och utfärdade en säkerhetskorrigering. Men då letade angripare efter mål över hela internet: förutom tiotusentals rapporterad offer i USA, regeringar runt om i världen är tillkännager att de också var komprometterade. Nu utnyttjar minst 10 hackergrupper, de flesta av dem regeringsstödda cyberspionageteam, sårbarheterna på tusentals servrar i över 115 länder, enligt till säkerhetsföretaget ESET.

Hur dataförtroende kan skydda integriteten

Vi kan inte förvänta oss att människor ska navigera i den förvirrande världen av datainsamling på egen hand. Det är dags att slå sig samman.



Medan president Joe Biden funderar repressalier mot Ryska hackare vars attack mot ett annat mjukvaruföretag, SolarWinds , blev offentligt i december, har Hafnium-hacket blivit ett enormt gratis-för-alla, och dess konsekvenser kan bli ännu värre. När experter sprintar för att täppa till hålen som öppnats av det kinesiska hacket, säger tjänstemän att den amerikanska regeringen är noga fokuserad på vad som händer bredvid tusentals nyligen sårbara servrar – och hur man ska svara mot Kina.

Portarna är vidöppna för alla dåliga aktörer som vill göra vad som helst med din Exchange-server och resten av ditt nätverk, säger Sean Koessel, vice VD på Volexity, cybersäkerhetsföretaget som hjälpte till att upptäcka hackningsaktiviteten. Det bästa fallet är spionage – någon som bara vill stjäla din data. Det värsta fallet är att ransomware kommer in och distribuerar den över hela nätverket.

Skillnaden mellan de två attackerna handlar inte bara om tekniska detaljer, eller till och med vilket land som begick dem. Även om 18 000 företag laddade ner den komprometterade programvaran SolarWinds, var antalet äkta mål bara en bråkdel av den storleken. Hafnium var under tiden mycket mer urskillningslöst.



Båda började som spionagekampanjer, men skillnaden är egentligen hur de genomfördes, säger Dmitri Alperovitch, ordförande vid Silverado Policy Accelerator. Den ryska SolarWinds-kampanjen gjordes mycket noggrant, där ryssarna gick efter målen de brydde sig om och de stängde av tillgången överallt annars, så att varken de eller någon annan kunde ta sig in i de mål som inte var av intresse.

Jämför det med den kinesiska kampanjen, säger han.

Den 27 februari inser de att patchen kommer att släppas, och de söker bokstavligen av världen för att kompromissa med alla. De lämnade webbskal som nu kan göra det möjligt för andra att komma in i dessa nätverk, potentiellt till och med ransomware-aktörer. Det är därför det är mycket hänsynslöst, farligt och måste bemötas.



Massexploatering

Början av Hafnium-kampanjen var väldigt under radarn, säger Koessel.

Hacket missades av de flesta säkerhetskontroller: det upptäcktes bara när Volexity märkte konstiga och specifika internettrafikförfrågningar till företagets kunder som körde sina egna Microsoft Exchange-e-postservrar.

En månadslång utredning visade att fyra sällsynta zero-day bedrifter användes för att stjäla hela brevlådor – potentiellt förödande för de inblandade individerna och företagen, men vid denna tidpunkt var det få offer, och skadorna var relativt begränsade. Volexity arbetade med Microsoft i veckor för att åtgärda sårbarheterna, men Koessel säger att han såg en stor förändring i slutet av februari. Antalet offer började inte bara öka, det skedde också en ökning av antalet hackergrupper.



Det är inte klart hur flera statliga hackningsgrupper blev medvetna om nolldagssårbarheterna innan Microsoft gjorde något offentligt tillkännagivande. Så varför exploderade omfattningen av exploateringen? Kanske, menar vissa, kan hackarna ha insett att deras tid nästan var slut. Om de visste att ett plåster skulle komma, hur fick de reda på det?

Jag tror att det är väldigt ovanligt att se så många olika [avancerade hackning]-grupper som har tillgång till utnyttjandet för en sårbarhet medan detaljerna inte är offentliga, säger Matthieu Faou, som leder forskning om Exchange-hack för ESET. Det finns två stora möjligheter, säger han. Antingen läckte detaljerna om sårbarheterna på något sätt till hotaktörerna, eller så upptäckte ett annat sårbarhetsforskarteam som arbetade för hotaktörerna självständigt samma uppsättning sårbarheter.

Volexity såg Hafnium lura i nätverk i en månad och vidtog åtgärder för att sparka ut dem innan Microsoft utfärdade en patch. Det kan ha varit utlösandet som fick Hafnium att eskalera. Eller, föreslår Alperovitch, hackarna kunde ha kommit på ett annat sätt att en patch skulle komma – säkerhetsteam runt om i branschen, inklusive de på Microsoft, utbyter regelbundet information om sårbarheter och korrigeringar i förväg. När Microsoft väl gjorde det offentliga tillkännagivandet anslöt sig ännu fler hackningsgrupper till striden.

Dagen efter releasen av patcharna började vi observera många fler hotaktörer som skannade och kompromitterade Exchange-servrar i stort, säger Faou. Alla utom en av de aktiva hackargrupperna är kända regeringsstödda hackingteam fokuserade på spionage. Det är dock oundvikligt att fler och fler hotaktörer, inklusive ransomware-operatörer, kommer att få tillgång till exploatörerna förr eller senare, säger han.

När aktiviteten ökade såg Volexity en annan beteendeförändring: hackare lämnade webbskal när de bröt sig in i dessa system. Dessa är enkla hackningsverktyg som tillåter ihållande, fjärråtkomst till infekterade maskiner så att hackaren kan kontrollera dem. De kan vara effektiva, men de är också relativt bullriga och lätta att upptäcka.

När hackare släpper ett skal på en maskin kan de fortsätta att komma tillbaka tills det har städats – inte ens att åtgärda de sårbarheter som ursprungligen var felet kommer inte att rensa upp skalen. Men själva webbskalet är knappt säkert och kan samordnas av andra hackare – först för att bryta sig in på Exchange-servrarna och stjäla e-postmeddelanden och sedan för att attackera hela nätverk.

Det är en dörr med ett lås som är lätt att välja, säger Alperovitch, en av grundarna av säkerhetsföretaget CrowdStrike som lämnade företaget förra året.

En annorlunda utmaning

Hackningen fortsätter att öka. Microsoft tog det sällsynta steget på måndagen att släppa säkerhetskorrigeringar för versioner av Exchange som inte stöds som normalt skulle vara för gamla för att säkra – ett tecken på hur allvarlig företaget anser att attacken är. Microsoft har avböjt att kommentera.

Medan Vita huset väger ett svar, ökar risken. Biden-administrationen hanterar långsamt det sofistikerade spionaget av SolarWinds, men kaoset med Hafnium-hackarna erbjuder en helt annan utmaning – både när det gäller att lösa problemet och att svara på hackare bakom det.

Det måste finnas ett meddelande som skickas till kineserna att detta är oacceptabelt, hävdar Alperovitch. USA måste göra det klart att vi kommer att hålla dem ansvariga för alla skador som uppstår från kriminella aktörer som utnyttjar denna tillgång, säger han, och vi måste pressa dem att ta bort dessa webbskal från alla offer ASAP.

Dölj