“هک هرکسی که می توانید”: آنچه در مورد نقض گسترده Microsoft Exchange می دانید

پاسخ دهندگان امنیت سایبری شبانه روزی در تلاشند تا شبکه هایی را که مورد حمله قرار گرفته اند ، خنثی کنند هک هفته گذشته سرویس ایمیل Exchange مایکروسافت – حمله ای که صدها هزار سازمان در سراسر جهان را تحت تأثیر قرار داده است.

روز جمعه ، کاخ سفید از قربانیان خواست که سیستم ها را وصله کنند و بر ضرورت تأکید کرد: یک پنجره برای به روزرسانی سیستم ها می تواند در “ساعت و نه روز” اندازه گیری شود ، یک مقام ارشد دولت گفت.

“این یک هک بزرگ دیوانه وار است” ، کریستوفر کربس ، مدیر سابق آژانس امنیت سایبر و امنیت زیرساخت ایالات متحده (CISA) ، هفته گذشته توییت کرد.

نتایج حاصل از هک هنوز در حال اندازه گیری است. جیک سالیوان ، مشاور امنیت ملی ، گفت که رئیس جمهور جو بایدن در مورد این حمله مطلع شده و آن را با رهبران هند ، ژاپن و استرالیا در یک نشست سران در میان گذاشته است. شورای امنیت ملی برای رسیدگی به این نقض گسترده یک کارگزار دولتی چند آژانس را تشکیل داده است.

این نقض در پی هک سال گذشته مرتبط با روسیه است که از نرم افزار SolarWinds برای انتشار ویروس در 18000 شبکه رایانه ای دولتی و خصوصی استفاده کرده است.

امنیت سایبری مدیر عامل FireEye
مدیر عامل FireEye کوین ماندیا ، سه شنبه ، 9 مارس 2021 ، از فضای اداری بلااستفاده شرکت امنیت سایبری در Reston ، واشنگتن بازدید می کند. مندیا گفت 550 نفر از کارمندانش از راه دور کار می کنند و به سیل اخیر نقض سایبری پاسخ می دهند ، از جمله چهار حملات مختلف روز صفر علیه Microsoft Exchange.

ناتان الگرن / AP


بادهای خورشیدی بد بود. اما دیوید کندی ، مدیرعامل شرکت امنیت سایبری TrustedSec گفت: “هک انبوه در اینجا در حال وقوع است به معنای واقعی کلمه بزرگترین هکی است که من در طول پانزده سال گذشته دیده ام.” در این مورد خاص ، قافیه یا دلیل صفر برای کسی وجود نداشت [attackers] هک می شدند این به معنای واقعی کلمه هرکسی را که می توانید در این پنجره کوتاه مدت هک کرده و باعث ایجاد هرچه بیشتر هجوم و ضرب وشتم شده است. “

آنچه در مورد سو استفاده از Microsoft Exchange می دانید در اینجا است:

حمله چه زمانی آغاز شد؟

هکرها بر اساس گفته های شرکت امنیت سایبری Volexity ، “مایکروسافت” برای شناسایی بهره برداری های اولیه اعتبار خود را “از اوایل ژانویه” به طور یواشکی هدف قرار دادن سرورهای Exchange قرار دادند.

به گفته تام برت ، معاون رئیس شرکت مایکروسافت ، هکرها ابتدا یا با رمزهای عبور دزدیده شده یا با استفاده از آسیب پذیری هایی که قبلاً کشف نشده بودند برای “پنهان کردن خود به عنوان شخصی که باید دسترسی داشته باشد” به Exchange Server دسترسی پیدا کردند. هکرها با استفاده از پوسته های وب ، از طریق دسترسی از راه دور – که از سرورهای خصوصی مستقر در ایالات متحده استفاده می شود – سرورها را کنترل می کنند تا داده ها را از شبکه قربانی بدزدند.

چه کسی پشت حمله است؟

مایکروسافت یک گروه مستقر در چین را که به عنوان “هافنیوم” شناخته می شود ، به عنوان بازیگر اصلی حملات اولیه شناسایی کرد.

گروه هافنیوم در طول تاریخ “محققان بیماری های عفونی ، موسسات حقوقی ، م institutionsسسات آموزش عالی ، پیمانکاران دفاعی ، اتاق های فکر و سازمان های غیردولتی” را هدف قرار داده است.

ap21051160570564.jpg
در این تصویر عکس ، آرم مایکروسافت که در گوشی هوشمند با ارزش بازار سهام در پس زمینه نشان داده شده است.

عمر مارکز / تصاویر SOPA / Sipa USA از طریق AP Images


مایکروسافت چگونه پاسخ داد؟

مایکروسافت این آسیب پذیری ها را در تاریخ 2 مارس علنی کرد و “وصله ها” را برای چندین نسخه از Exchange منتشر کرد. در حالی که مایکروسافت به طور معمول به روزرسانی ها را در سه شنبه دوم هر ماه آغاز می کند – معروف به “سه شنبه وصله” – اعلامیه آن در سه شنبه اول ماه اعلام شد ، این نشان دهنده ضرورت آن است.

چند روز بعد ، این شرکت همچنین گام غیرمعمولی را برای انتشار وصله های امنیتی نسخه های قدیمی سرویس Exchange Server برداشته است.

سخنگوی مایکروسافت به CBS News گفت که این شرکت از نزدیک با CISA ، سایر سازمان های دولتی و شرکت های امنیتی همکاری می کند. این شرکت در بیانیه ای که هفته گذشته در اختیار CBS News قرار گرفت ، گفت: “بهترین محافظت این است كه هرچه سریعتر به روزرسانی ها را در همه سیستم های تحت تأثیر قرار دهیم. ما با ارائه راهنمایی های تحقیق و تخفیف بیشتر به مشتریان خود كمك می كنیم. مشتریان تحت تأثیر باید با پشتیبانی ما تماس بگیرند. برای کمک و منابع اضافی. ”

چگونه حمله تکامل یافت؟

کارشناسان می گویند که هکرها بلافاصله قبل از رفع مشکلات ، حمله را افزایش می دهند ، اما این سرعت بسیار سریعتر است. “هنگامی که یک پچ قریب الوقوع است ، [hackers] بن رود ، مدیر تجزیه و تحلیل تهدیدات در شرکت امنیت سایبری Mandiant ، گفت: ممکن است به بهره برداری گسترده تری روی بیاوریم زیرا این عامل “استفاده از آن یا از دست دادن آن” است.

اما در اواخر ماه فوریه ، درست چند روز قبل از اینکه مایکروسافت وصله امنیتی خود را منتشر کند ، محققان امنیتی شاهد موج دوم خودکار حملات بودند که قربانیان را در سراسر بخشهای صنعت هدف قرار داده است.

کندی گفت: “آنها بسیار پرخاشگرانه عمل کردند و اساساً همه را هک کردند.” هکرها درب های پشتی معروف به “پوسته های وب” را در سیستم ها کاشته و “بدون قافیه و دلیل” حملات علیه سازمان ها را آغاز کردند. کندی افزود: “ما در گذشته چنین چیزی را از چین ندیده بودیم.”

مایکروسافت روز جمعه گفت که در حال بررسی این موضوع است که آیا مهاجمان از نزدیک بودن وصله اطلاع داده اند یا خیر. کاوشگر داخلی “آنچه ممکن است باعث افزایش فعالیت مخرب شود” در پایان ماه فوریه است ، اما محققان هنوز نتیجه ای نگرفته اند. سخنگوی مایکروسافت به CBS News گفت: “ما هیچ نشانه ای از نشت مایکروسافت در رابطه با این حمله مشاهده نکردیم.”

هکرها چه می خواستند؟

هدف هکرها مشخص نیست. رید گفت: “ده ها هزار هدف که اکثر آنها واقعاً هیچ ارزش اطلاعاتی ندارند.” “آنها فقط نوعی از شهرهای کوچک و مشاغل محلی هستند. اطلاعات آنها برای دولت چین هیچ ارزشی ندارد.” رید “سطح بهره برداری جمعی” از افراد ناخواسته را نمایش نیرویی “بسیار نادر” خواند.

و آنچه به عنوان هک به رهبری هکرهای چینی آغاز شد ، به زودی جای خود را به شور و نشاط گروه های جنایتکار در کشورهای دیگر ، از جمله روسیه داد.

شرکت آنتی ویروس ESET روز چهارشنبه در یک پست وبلاگ گفت ، حداقل 10 گروه جاسوسی جنایی از نقایص برنامه ایمیل Exchange Server در سراسر جهان سو استفاده کرده اند.

چه کسی هدف قرار گرفت؟

کارشناسان امنیت سایبری به CBS News می گویند که ده ها هزار نهاد خصوصی و دولتی ایالات متحده مورد حمله قرار گرفته اند. کندی گفت: “در ابتدا ، تخمین های اولیه 30،000 نفر هک شده بودند. ما اکنون شاهد تعدادی هستیم که بسیار بیشتر است.” “در سطح جهانی ، قطعاً در چندین صدهزار سرور هک شده است.”

لیست قربانیان در سراسر جهان همچنان در حال گسترش است و شامل مدارس ، بیمارستان ها ، شهرها و داروخانه ها است. شرکت امنیت سایبری CyberEye “مجموعه ای از قربانیان آسیب دیده از جمله خرده فروشان مستقر در ایالات متحده ، دولت های محلی ، یک دانشگاه و یک شرکت مهندسی” را در یک پست وبلاگ شناسایی کرد.

سازمان بانکی اروپا ، تنظیم کننده بانکی برای اتحادیه اروپا ، اعلام کرد که مورد حمله قرار گرفته است.

این حمله عمدتا از شر شرکتهای Fortune-500 و سازمانهای بزرگی که سرورهای خود را به Microsoft Exchange Online – سرویس ایمیل و تقویم مبتنی بر ابر مایکروسافت منتقل کرده اند ، پاک می شود. اما این حمله گسترده برای شرکتهای کوچکتری که مایکروسافت را در سرورهای داخلی خود اجرا می کنند دردناک است و حداقل توانایی پرداخت امنیت بالا را دارند.

کتی نیکلز ، مدیر اطلاعات شرکت امنیت سایبری رد قناری ، به کیت نیکلز گفت: “بیشترین نگرانی قربانیان مشاغل کوچک و متوسط ​​هستند که اخبار امنیتی را روزانه دنبال نمی کنند و ممکن است از وجود این وصله گسترده آگاه نباشند.” اخبار CBS. وی افزود که اطلاع رسانی به قربانیان “چالش بزرگی” با توجه به تعداد زیادی از سازمانهای آسیب دیده ارائه داده است. وی گفت: “چیزی که بیشتر من را نگران می کند همه کسانی هستند که ما آنها را نمی بینیم.”

آیا دولت فدرال نقض شده است؟

اریک گلدشتاین ، دستیار مدیر بخش امنیت سایبری CISA هفته گذشته به قانونگذاران گفت که مقامات نقض هیچ یک از آژانس های فدرال را تأیید نکرده اند. “در این برهه از زمان ، هیچ آژانس غیرنظامی فدرال وجود ندارد که تأیید شود با این کارزار مصالحه می شود.”

اما جیک سالیوان ، مشاور امنیت ملی روز جمعه گفت که دولت فدرال “هنوز در تلاش برای تعیین دامنه و مقیاس” این هک است.

آژانس امنیت سایبری و امنیت زیرساخت (CISA) گفت این نقض “آژانس های شعبه اجرایی غیرنظامی فدرال را غیرقابل قبول می کند” و در تاریخ 2 مارس دستورالعمل اضطراری صادر کرد و به همه آژانس ها دستور داد بلافاصله وصله را اجرا کنند یا در صورت عدم ارتباط از Exchange Server جدا شوند.

چه خطراتی دارد؟

شرکت های امنیت سایبری می گویند که آنها مشاهده کرده اند که هکرها رمزهای عبور از شبکه ها را می دزدند و بدافزارهای استخراج ارز رمزنگاری شده را روی سرورها نصب می کنند.

و مایکروسافت گفت: توییت آخر شب روز پنجشنبه متوجه شده بود که یک نوع جدید از “باج افزار” – نوعی نرم افزار مخرب طراحی شده برای جلوگیری از دسترسی به رایانه تا زمانی که قربانی مبلغی را پرداخت کند.

در حالی که شرکت ها ممکن است تصور کنند که سیستم آنها به محض نصب پچ امنیتی مایکروسافت برطرف شده است ، اما بروزرسانی اضطراری مهاجمان را از سرورها اخراج نمی کند ، سازمانهایی را که از قبل نقض شده اند مستعد استفاده بیشتر می کنند.

کندی گفت: “اکنون نیز نگرانی زیادی وجود دارد که چین قصد دارد این حساب ها را به بازیگران بد ، از جمله” نویسندگان باج افزار برای آسیب رساندن هرچه بیشتر ، “بفروشد. “بنابراین در حال حاضر یک دوره بسیار حساس برای ما است.”

آیا این به Solarwinds متصل است؟

آخرین حمله به نقض سال گذشته SolarWinds مرتبط نیست ، اگرچه زمان دو هک سایبری متوالی و گسترده توانایی پاسخگویی را تیره کرده است.

نیكلز گفت: “تأثیر بزرگ در صنعت ، زمان بندی است.” “ما یک سال به یک بیماری همه گیر مبتلا هستیم. مردم از راه دور کار می کنند ، و آنها خسته و تحت فشار قرار گرفته اند.”

مقامات آمریکایی به CBS News گفتند اگرچه هک SolarWinds با توجه به این واقعیت که هکرها در آن حمله به 9 آژانس فدرال دسترسی پیدا کردند ، پیامدهای بیشتری در مورد امنیت ملی دارد ، اما حمله مایکروسافت بسیار گسترده تر است.

کندی گفت: “این قطعاً بزرگتر از بادهای خورشیدی است.” “در حالی که [SolarWinds] بد بود ، تقریباً به وسعت سیستم های اینجا برخورد نکرد. “

نیکلز گفت: “این هک بسیار پر سر و صدا است و بسیار آسانتر قابل تشخیص است ، اما مقیاس آن چیزی است که باعث نگرانی این مسئله می شود.”

مقامات ارشد دولت کاخ سفید روز جمعه به خبرنگاران گفتند که دولت بایدن در پی حمله SolarWinds اقدامات اجرایی را اعلام خواهد کرد. کاخ سفید همچنین در حال رونمایی از دستورالعمل جدید اجرایی در زمینه سایبر در “چند هفته آینده” است که شامل پیشنهادی برای تعیین درجه امنیت سایبری درجه یک به فروشندگان نرم افزار مورد استفاده دولت فدرال است.

هنوز مشخص نیست که آیا دستور اجرایی سایبری آینده خطرات ناشی از آخرین هک Microsoft Exchange را نیز برطرف می کند.

مقامات روسی و چینی مسئولیت را انکار کرده اند. هفته گذشته ، وانگ ونبن ، سخنگوی وزارت امور خارجه گفت چین “قاطعانه با حملات سایبری و سرقت های اینترنتی از همه اشکال مخالفت و مبارزه می کند.”

مارگارت برنان در این گزارش همکاری داشت.

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *