Бизнеси и правителствени агенции в САЩ, които използват услугата Exchange за електронна поща на "Майкрософт", са компрометирани при агресивна хакерска кампания, която вероятно е била спонсорирана от китайското правителство, обяви софтуерната компания.

Броят на засегнатите се оценява на десетки хиляди и може да нарасне, смятат някои експерти по сигурността, тъй като разследването на нарушението продължава. През януари хакерите са атакували тайно няколко цели, според Volexity, фирмата за киберсигурност. Тя е открила хака, но атаките са зачестили през последните седмици, когато "Майкрософт" предприе действия за отстраняване на уязвимостите, използвани при атаката.

Агенцията за киберсигурност на правителството на САЩ издаде спешно предупреждение миналата седмица. Предупреждението призова федералните агенции незабавно да подобрят своите системи. В петък "Ню Йорк таймс" съобщи, че атаката е засегнала поне 30 000 клиенти на "Майкрософт".

По-късно "Блумбърг" съобщи за най-малко 60 000 известни засегнати, позовавайки се на анонимен бивш американски служител, участвал в разследването.

Служителите по сигурността на "Майкрософт" заявиха, че атаката на групата Hafnium "е насочена главно към организации в САЩ", крадейки информация от организации като "изследователи на инфекциозни болести, адвокатски кантори, висши учебни заведения, подизпълнители по отбрана, частни политически институти и неправителствени организации.".

Но групата за киберсигурност Huntress заяви, че е видяла засегнати 300 от сървърите на своите партньори.

"Тези компании са различни от посочените от "Майкрософт" - сред тях са малки хотели, компания за сладолед, фирма за кухненски уреди, множество общности за възрастни хора", написа групата в блога си.

Според групата са засегнати и местни власти, здравеопазване, банки и електрически компании.

"Притесняваме се, че има голям брой засегнати", заяви говорителката на Белия дом Джен Псаки по време на брифинг в петък. Атаката "може да има големи последици", добави тя.

Федералните служители се опитват да разберат как поредният хак се различава от нахлуването през миналата година в различни федерални агенции и корпоративни системи от руски хакери в това, което стана известно като атаката на SolarWinds. В този инцидент руските хакери заложиха код в актуализацията на софтуера за управление на мрежата SolarWinds. Докато около 18 000 клиенти на компанията са изтеглили кода, до момента има доказателства, че руските хакери са откраднали материали от девет държавни агенции и около 100 компании.

"Майкрософт" заяви, че зад атаката стои китайска хакерска група, известна като Hafnium, "група, оценена като финансирана от държавата и работеща извън Китай".

Китай многократно повтаря, че предвид виртуалната природа на киберпространството и факта, че има всякакви онлайн участници, които са трудни за проследяване, проследяването на източника на кибератаки е сложен технически проблем. Също така е изключително чувствителен политически въпрос да се прикрепи етикетът на кибератака към определено правителство.

Уанг Уенбин, говорител на Министерството на външните работи на Китай

Кампанията е била открита през януари, каза Стивън Адейр, основателят на Volexity, цитиран от "Ню Йорк таймс". Хакерите са откраднали имейли от няколко цели, използвайки грешка, която им позволява достъп до имейл сървъри без парола.

"Това смятаме за наистина стелт операция", каза Адейр, добавяйки, че откритието е започнало неистово разследване. "Това ни накара да започнем да преглеждаме всичко." Volexity докладва своите констатации на "Майкрософт" и правителството на САЩ, добави той.

Но в края на февруари атаката ескалира. Хакерите започват да използват множество уязвимости заедно и да атакуват по-широка група организации. "Знаехме, че това, за което съобщихме и видяхме, че се използва много потайно, сега се комбинира с други атаки. Ставаше все по-зле и по-зле", казва Адейр.

Проблемите в сигурността, използвани от хакерите, известни като "нулеви дни" (zero days), преди това не са били известни на "Майкрософт".

"Ние следим отблизо аварийната корекция на "Майкрософт" за неизвестни досега уязвимости в софтуера Exchange Server и доклади за потенциални атаки в американските мозъчни тръстове и компании от отранителния сектор", каза Джейк Съливан, съветник по националната сигурност на Белия дом.

"Това е истинската атака", написа в "Туитър" Кристофър Кребс, бившият директор на Агенцията за киберсигурност и инфраструктура на САЩ (U.S. Cybersecurity and Infrastructure Agency).

Кребс добави, че компаниите и организациите, които използват програмата на Microsoft Exchange, трябва да приемат, че са били хакнати някъде между 26 февруари и 3 март, и да работят бързо за инсталиране на корекциите, публикувани през изминалата седмица от "Майкрософт".

След като компанията разкри атаката, други хакери, които не са свързани с Hafnium, започнаха да използват уязвимостите на организации, които не са подобрили техните системи, обявиха от "Майкрософт".

Поправянето на тези системи не е проста задача. Имейл сървърите са трудни за поддръжка, дори и за специалистите по сигурността, а много организации нямат необходимия опит да хостват собствените си сървъри безопасно. От години "Майкрософт" настоява тези клиенти да преминат към облака, където компанията може да управлява защитата за тях.

Дневник