Atak na infrastrukturę Microsoft Exchange — kogo dotyczy i co należy zrobić?

Rzadko zdarzają się kampanie cyberszpiegowskie zakrojone na tak szeroką skalę, jak obecna kampania wymierzona w oprogramowanie Microsoft Exchange Server. Zdaniem firmy Microsoft atak został przeprowadzony z wykorzystaniem czterech luk w zabezpieczeniach przez grupę cyberprzestępców powiązaną z Chinami.

Ocenia się, że ofiarą ataku, który umożliwił hakerom przejęcie zdalnej kontroli nad zainfekowanymi systemami, padło już co najmniej 30 tys. przedsiębiorstw i instytucji w Stanach Zjednoczonych, a w skali globalnej liczba ta może być znacznie większa. Najnowsze wyniki uzyskane za pomocą wyszukiwarki Shodan wskazują, że na ryzyko związane z wykorzystaniem powyższych luk jest nadal narażonych około 63 tys. serwerów.

Według zaleceń, priorytetem powinno być zastosowanie dostępnych poprawek, a tam, gdzie ich natychmiastowa instalacja nie jest możliwa — odłączenie od sieci wszystkich podatnych na zagrożenie serwerów. Każdy podmiot korzystający z serwera Exchange powinien podjąć działania mające na celu wykrycie ewentualnych oznak naruszenia integralności systemu.

W pełni zgadzamy się z zaleceniami firmy Microsoft i innych specjalistów. Jednocześnie informujemy, że dotychczasowi użytkownicy naszego rozwiązania XDR mogą skorzystać z gotowych zapytań na platformie Trend Micro Vision One™ w celu wyszukania oznak ataku w swoim środowisku. Zapytania te można znaleźć w artykule, który zawiera również szczegółowe informacje o dodatkowych mechanizmach wykrywania i ochrony, z których klienci mogą korzystać we wszystkich rozwiązaniach zabezpieczających.

Co się wydarzyło?

Jak wynika z przeprowadzonych analiz, pierwsze ataki miały miejsce 6 stycznia 2021 roku. W tym dniu nowa grupa hakerów — określona przez Microsoft kryptonimem „Hafnium” — rozpoczęła wykorzystywanie czterech błędów typu „zero-day” w oprogramowaniu Microsoft Exchange Server. Aby ukryć swoje faktyczne położenie, grupa korzysta z wirtualnych serwerów prywatnych (VPS) zlokalizowanych w Stanach Zjednoczonych. 2 marca firma Microsoft udostępniła awaryjne poprawki oraz wydała następujące oświadczenie:

„W  zaobserwowanych atakach napastnik wykorzystał luki w zabezpieczeniach, aby uzyskać dostęp do lokalnych serwerów Exchange. Umożliwiło to uzyskanie dostępu do kont poczty elektronicznej oraz zainstalowanie dodatkowego szkodliwego oprogramowania ułatwiającego trwały dostęp do zaatakowanych środowisk”.

Dzięki połączeniu powyższych luk napastnicy mogą uwierzytelniać się jako serwer Exchange, uruchamiać kod przy użyciu konta systemowego i zapisywać pliki w dowolnej ścieżce na serwerze. Po wykorzystaniu wszystkich czterech błędów grupa Hafnium instaluje powłoki typu „web shell”, za pomocą których może wykradać dane i podejmować działania mające na celu złamanie kolejnych zabezpieczeń atakowanych systemów. Może to obejmować również instalowanie oprogramowania ransomware w zaatakowanej firmie lub instytucji.

Nie można również wykluczyć związku między obecną kampanią a atakami dokonywanymi za pomocą powłoki „web shell” Chopper ASPX, których analizę opublikowaliśmy w styczniu 2021 roku. Specjaliści z firmy Trend Micro prowadzą dalsze badania nad tym, w jaki sposób obie kampanie mogą być ze sobą powiązane oraz czy mogą również trwać inne podobne kampanie.

Czy problem dotyczy również mnie?

W swojej wstępnej analizie firma Microsoft stwierdziła, że grupa Hafnium atakowała już wcześniej przedsiębiorstwa i instytucje w sektorach takich jak: badania nad chorobami zakaźnymi, usługi prawne, szkolnictwo wyższe czy obronność, a także ośrodki analiz politycznych i organizacje pozarządowe. Pojawiają się jednak sugestie, że za najnowszą, zakrojoną na szeroką skalę falą ataków mogą stać inni sprawcy. Były szef CISA (amerykańskiej Agencji Cyberbezpieczeństwa i Bezpieczeństwa Infrastruktury) Chris Krebs ostrzega, że bez względu na źródło ataków problem może w nieproporcjonalnie dużym stopniu dotyczyć małych i średnich przedsiębiorstw, instytucji edukacyjnych oraz władz państwowych i samorządowych, ponieważ podmioty te często dysponują mniejszymi środkami na zakup zabezpieczeń.

Użytkownicy lokalnych serwerów Exchange, w celu zweryfikowania czy padli ofiarą ataku, powinni:

  • Przeskanować dzienniki oprogramowania Exchange Server za pomocą narzędzia firmy Microsoft do wykrywania zagrożeń, aby sprawdzić, czy doszło do złamania zabezpieczeń.
  • Uruchomić na platformie Trend Micro Vision One™ ręczne wykrywanie znanych wskaźników naruszenia ochrony (IoCs) związanych z omawianą kampanią.

Co dalej?

W przypadku gdy po zakończeniu skanowania okaże się, że zabezpieczenia środowiska nie zostały złamane, należy jak najszybciej zainstalować odpowiednie poprawki udostępnione przez Microsoft.

Jeśli uruchomione skanowanie znajdzie dowody, że haker mógł wykorzystać luki w zabezpieczeniach środowiska, należy przejść w tryb reagowania na incydent.

Sposób postępowania może zależeć od wewnętrznych zasobów danej firmy lub instytucji oraz jej sytuacji. Poniżej przedstawiamy kilka porad dla małych i średnich firm oraz dużych przedsiębiorstw.

  1. Jeśli firma nie ma zespołu ds. zabezpieczeń, powinna zwrócić się o pomoc do dostawcy zabezpieczeń lub dostawcy usług zarządzanych.
  2. Jeśli w  firmie działa wewnętrzny zespół ds. reagowania na incydenty, powinien on określić dalszy sposób postępowania.
  3. W celu zabezpieczenia ewentualnych wskaźników naruszenia ochrony nie należy ponownie instalować obrazów komputerów do momentu zakończenia skanowania w ramach czynności śledczych.
  4. Należy skontaktować się z działem prawnym w celu omówienia wymagań dotyczących powiadamiania o naruszeniu bezpieczeństwa.

Więcej informacji na temat mechanizmów wykrywania i dodatkowych mechanizmów ochrony oferowanych przez Trend Micro w związku z omawianą kampanią zawiera artykuł, który będzie aktualizowany w miarę uzyskiwania dalszych informacji: https://success.trendmicro.com/solution/000285882.

Dodaj komentarz

Twój adres e-mail nie zostanie opublikowany. Wymagane pola są oznaczone *

Witryna wykorzystuje Akismet, aby ograniczyć spam. Dowiedz się więcej jak przetwarzane są dane komentarzy.