“هک هرکسی که می توانید”: آنچه در مورد نقض گسترده Microsoft Exchange می دانید

پاسخ دهندگان امنیت سایبری شبانه روزی در تلاشند تا شبکه هایی را که مورد حمله قرار گرفته اند ، خنثی کنند هک هفته گذشته سرویس ایمیل Exchange مایکروسافت – حمله ای که صدها هزار سازمان در سراسر جهان را تحت تأثیر قرار داده است.

روز جمعه ، کاخ سفید از قربانیان خواست که سیستم ها را وصله کنند و بر ضرورت تأکید کرد: یک پنجره برای به روزرسانی سیستم ها می تواند در “ساعت و نه روز” اندازه گیری شود ، یک مقام ارشد دولت گفت.

“این یک هک بزرگ دیوانه وار است” ، کریستوفر کربس ، مدیر سابق آژانس امنیت سایبر و امنیت زیرساخت ایالات متحده (CISA) ، هفته گذشته توییت کرد.

نتایج حاصل از هک هنوز در حال اندازه گیری است. جیک سالیوان ، مشاور امنیت ملی ، گفت که رئیس جمهور جو بایدن در مورد این حمله مطلع شده و آن را با رهبران هند ، ژاپن و استرالیا در یک نشست سران در میان گذاشته است. شورای امنیت ملی برای رسیدگی به این نقض گسترده یک کارگزار دولتی چند آژانس را تشکیل داده است.

این نقض در پی هک سال گذشته مرتبط با روسیه است که از نرم افزار SolarWinds برای انتشار ویروس در 18000 شبکه رایانه ای دولتی و خصوصی استفاده کرده است.

امنیت سایبری مدیر عامل FireEye
مدیر عامل FireEye کوین ماندیا ، سه شنبه ، 9 مارس 2021 ، از فضای اداری بلااستفاده شرکت امنیت سایبری در Reston ، واشنگتن بازدید می کند. مندیا گفت 550 نفر از کارمندانش از راه دور کار می کنند و به سیل اخیر نقض سایبری پاسخ می دهند ، از جمله چهار حملات مختلف روز صفر علیه Microsoft Exchange.

ناتان الگرن / AP


بادهای خورشیدی بد بود. اما دیوید کندی ، مدیرعامل شرکت امنیت سایبری TrustedSec گفت: “هک انبوه در اینجا در حال وقوع است به معنای واقعی کلمه بزرگترین هکی است که من در طول پانزده سال گذشته دیده ام.” در این مورد خاص ، قافیه یا دلیل صفر برای کسی وجود نداشت [attackers] هک می شدند این به معنای واقعی کلمه هرکسی را که می توانید در این پنجره کوتاه مدت هک کرده و باعث ایجاد هرچه بیشتر هجوم و ضرب وشتم شده است. “

آنچه در مورد سو استفاده از Microsoft Exchange می دانید در اینجا است:

حمله چه زمانی آغاز شد؟

هکرها بر اساس گفته های شرکت امنیت سایبری Volexity ، “مایکروسافت” برای شناسایی بهره برداری های اولیه اعتبار خود را “از اوایل ژانویه” به طور یواشکی هدف قرار دادن سرورهای Exchange قرار دادند.

به گفته تام برت ، معاون رئیس شرکت مایکروسافت ، هکرها ابتدا یا با رمزهای عبور دزدیده شده یا با استفاده از آسیب پذیری هایی که قبلاً کشف نشده بودند برای “پنهان کردن خود به عنوان شخصی که باید دسترسی داشته باشد” به Exchange Server دسترسی پیدا کردند. هکرها با استفاده از پوسته های وب ، از طریق دسترسی از راه دور – که از سرورهای خصوصی مستقر در ایالات متحده استفاده می شود – سرورها را کنترل می کنند تا داده ها را از شبکه قربانی بدزدند.

چه کسی پشت حمله است؟

مایکروسافت یک گروه مستقر در چین را که به عنوان “هافنیوم” شناخته می شود ، به عنوان بازیگر اصلی حملات اولیه شناسایی کرد.

گروه هافنیوم در طول تاریخ “محققان بیماری های عفونی ، موسسات حقوقی ، م institutionsسسات آموزش عالی ، پیمانکاران دفاعی ، اتاق های فکر و سازمان های غیردولتی” را هدف قرار داده است.

ap21051160570564.jpg
در این تصویر عکس ، آرم مایکروسافت که در گوشی هوشمند با ارزش بازار سهام در پس زمینه نشان داده شده است.

عمر مارکز / تصاویر SOPA / Sipa USA از طریق AP Images


مایکروسافت چگونه پاسخ داد؟

مایکروسافت این آسیب پذیری ها را در تاریخ 2 مارس علنی کرد و “وصله ها” را برای چندین نسخه از Exchange منتشر کرد. در حالی که مایکروسافت به طور معمول به روزرسانی ها را در سه شنبه دوم هر ماه آغاز می کند – معروف به “سه شنبه وصله” – اعلامیه آن در سه شنبه اول ماه اعلام شد ، این نشان دهنده ضرورت آن است.

چند روز بعد ، این شرکت همچنین گام غیرمعمولی را برای انتشار وصله های امنیتی نسخه های قدیمی سرویس Exchange Server برداشته است.

سخنگوی مایکروسافت به CBS News گفت که این شرکت از نزدیک با CISA ، سایر سازمان های دولتی و شرکت های امنیتی همکاری می کند. این شرکت در بیانیه ای که هفته گذشته در اختیار CBS News قرار گرفت ، گفت: “بهترین محافظت این است كه هرچه سریعتر به روزرسانی ها را در همه سیستم های تحت تأثیر قرار دهیم. ما با ارائه راهنمایی های تحقیق و تخفیف بیشتر به مشتریان خود كمك می كنیم. مشتریان تحت تأثیر باید با پشتیبانی ما تماس بگیرند. برای کمک و منابع اضافی. ”

چگونه حمله تکامل یافت؟

کارشناسان می گویند که هکرها بلافاصله قبل از رفع مشکلات ، حمله را افزایش می دهند ، اما این سرعت بسیار سریعتر است. “هنگامی که یک پچ قریب الوقوع است ، [hackers] بن رود ، مدیر تجزیه و تحلیل تهدیدات در شرکت امنیت سایبری Mandiant ، گفت: ممکن است به بهره برداری گسترده تری روی بیاوریم زیرا این عامل “استفاده از آن یا از دست دادن آن” است.

اما در اواخر ماه فوریه ، درست چند روز قبل از اینکه مایکروسافت وصله امنیتی خود را منتشر کند ، محققان امنیتی شاهد موج دوم خودکار حملات بودند که قربانیان را در سراسر بخشهای صنعت هدف قرار داده است.

کندی گفت: “آنها بسیار پرخاشگرانه عمل کردند و اساساً همه را هک کردند.” هکرها درب های پشتی معروف به “پوسته های وب” را در سیستم ها کاشته و “بدون قافیه و دلیل” حملات علیه سازمان ها را آغاز کردند. کندی افزود: “ما در گذشته چنین چیزی را از چین ندیده بودیم.”

مایکروسافت روز جمعه گفت که در حال بررسی این موضوع است که آیا مهاجمان از نزدیک بودن وصله اطلاع داده اند یا خیر. کاوشگر داخلی “آنچه ممکن است باعث افزایش فعالیت مخرب شود” در پایان ماه فوریه است ، اما محققان هنوز نتیجه ای نگرفته اند. سخنگوی مایکروسافت به CBS News گفت: “ما هیچ نشانه ای از نشت مایکروسافت در رابطه با این حمله مشاهده نکردیم.”

هکرها چه می خواستند؟

هدف هکرها مشخص نیست. رید گفت: “ده ها هزار هدف که اکثر آنها واقعاً هیچ ارزش اطلاعاتی ندارند.” “آنها فقط نوعی از شهرهای کوچک و مشاغل محلی هستند. اطلاعات آنها برای دولت چین هیچ ارزشی ندارد.” رید “سطح بهره برداری جمعی” از افراد ناخواسته را نمایش نیرویی “بسیار نادر” خواند.

و آنچه به عنوان هک به رهبری هکرهای چینی آغاز شد ، به زودی جای خود را به شور و نشاط گروه های جنایتکار در کشورهای دیگر ، از جمله روسیه داد.

شرکت آنتی ویروس ESET روز چهارشنبه در یک پست وبلاگ گفت ، حداقل 10 گروه جاسوسی جنایی از نقایص برنامه ایمیل Exchange Server در سراسر جهان سو استفاده کرده اند.

چه کسی هدف قرار گرفت؟

کارشناسان امنیت سایبری به CBS News می گویند که ده ها هزار نهاد خصوصی و دولتی ایالات متحده مورد حمله قرار گرفته اند. کندی گفت: “در ابتدا ، تخمین های اولیه 30،000 نفر هک شده بودند. ما اکنون شاهد تعدادی هستیم که بسیار بیشتر است.” “در سطح جهانی ، قطعاً در چندین صدهزار سرور هک شده است.”

لیست قربانیان در سراسر جهان همچنان در حال گسترش است و شامل مدارس ، بیمارستان ها ، شهرها و داروخانه ها است. شرکت امنیت سایبری CyberEye “مجموعه ای از قربانیان آسیب دیده از جمله خرده فروشان مستقر در ایالات متحده ، دولت های محلی ، یک دانشگاه و یک شرکت مهندسی” را در یک پست وبلاگ شناسایی کرد.

سازمان بانکی اروپا ، تنظیم کننده بانکی برای اتحادیه اروپا ، اعلام کرد که مورد حمله قرار گرفته است.

این حمله عمدتا از شر شرکتهای Fortune-500 و سازمانهای بزرگی که سرورهای خود را به Microsoft Exchange Online – سرویس ایمیل و تقویم مبتنی بر ابر مایکروسافت منتقل کرده اند ، پاک می شود. اما این حمله گسترده برای شرکتهای کوچکتری که مایکروسافت را در سرورهای داخلی خود اجرا می کنند دردناک است و حداقل توانایی پرداخت امنیت بالا را دارند.

کتی نیکلز ، مدیر اطلاعات شرکت امنیت سایبری رد قناری ، به کیت نیکلز گفت: “بیشترین نگرانی قربانیان مشاغل کوچک و متوسط ​​هستند که اخبار امنیتی را روزانه دنبال نمی کنند و ممکن است از وجود این وصله گسترده آگاه نباشند.” اخبار CBS. وی افزود که اطلاع رسانی به قربانیان “چالش بزرگی” با توجه به تعداد زیادی از سازمانهای آسیب دیده ارائه داده است. وی گفت: “چیزی که بیشتر من را نگران می کند همه کسانی هستند که ما آنها را نمی بینیم.”

آیا دولت فدرال نقض شده است؟

اریک گلدشتاین ، دستیار مدیر بخش امنیت سایبری CISA هفته گذشته به قانونگذاران گفت که مقامات نقض هیچ یک از آژانس های فدرال را تأیید نکرده اند. “در این برهه از زمان ، هیچ آژانس غیرنظامی فدرال وجود ندارد که تأیید شود با این کارزار مصالحه می شود.”

اما جیک سالیوان ، مشاور امنیت ملی روز جمعه گفت که دولت فدرال “هنوز در تلاش برای تعیین دامنه و مقیاس” این هک است.

آژانس امنیت سایبری و امنیت زیرساخت (CISA) گفت این نقض “آژانس های شعبه اجرایی غیرنظامی فدرال را غیرقابل قبول می کند” و در تاریخ 2 مارس دستورالعمل اضطراری صادر کرد و به همه آژانس ها دستور داد بلافاصله وصله را اجرا کنند یا در صورت عدم ارتباط از Exchange Server جدا شوند.

چه خطراتی دارد؟

شرکت های امنیت سایبری می گویند که آنها مشاهده کرده اند که هکرها رمزهای عبور از شبکه ها را می دزدند و بدافزارهای استخراج ارز رمزنگاری شده را روی سرورها نصب می کنند.

و مایکروسافت گفت: توییت آخر شب روز پنجشنبه متوجه شده بود که یک نوع جدید از “باج افزار” – نوعی نرم افزار مخرب طراحی شده برای جلوگیری از دسترسی به رایانه تا زمانی که قربانی مبلغی را پرداخت کند.

در حالی که شرکت ها ممکن است تصور کنند که سیستم آنها به محض نصب پچ امنیتی مایکروسافت برطرف شده است ، اما بروزرسانی اضطراری مهاجمان را از سرورها اخراج نمی کند ، سازمانهایی را که از قبل نقض شده اند مستعد استفاده بیشتر می کنند.

کندی گفت: “اکنون نیز نگرانی زیادی وجود دارد که چین قصد دارد این حساب ها را به بازیگران بد ، از جمله” نویسندگان باج افزار برای آسیب رساندن هرچه بیشتر ، “بفروشد. “بنابراین در حال حاضر یک دوره بسیار حساس برای ما است.”

آیا این به Solarwinds متصل است؟

آخرین حمله به نقض سال گذشته SolarWinds مرتبط نیست ، اگرچه زمان دو هک سایبری متوالی و گسترده توانایی پاسخگویی را تیره کرده است.

نیكلز گفت: “تأثیر بزرگ در صنعت ، زمان بندی است.” “ما یک سال به یک بیماری همه گیر مبتلا هستیم. مردم از راه دور کار می کنند ، و آنها خسته و تحت فشار قرار گرفته اند.”

مقامات آمریکایی به CBS News گفتند اگرچه هک SolarWinds با توجه به این واقعیت که هکرها در آن حمله به 9 آژانس فدرال دسترسی پیدا کردند ، پیامدهای بیشتری در مورد امنیت ملی دارد ، اما حمله مایکروسافت بسیار گسترده تر است.

کندی گفت: “این قطعاً بزرگتر از بادهای خورشیدی است.” “در حالی که [SolarWinds] بد بود ، تقریباً به وسعت سیستم های اینجا برخورد نکرد. “

نیکلز گفت: “این هک بسیار پر سر و صدا است و بسیار آسانتر قابل تشخیص است ، اما مقیاس آن چیزی است که باعث نگرانی این مسئله می شود.”

مقامات ارشد دولت کاخ سفید روز جمعه به خبرنگاران گفتند که دولت بایدن در پی حمله SolarWinds اقدامات اجرایی را اعلام خواهد کرد. کاخ سفید همچنین در حال رونمایی از دستورالعمل جدید اجرایی در زمینه سایبر در “چند هفته آینده” است که شامل پیشنهادی برای تعیین درجه امنیت سایبری درجه یک به فروشندگان نرم افزار مورد استفاده دولت فدرال است.

هنوز مشخص نیست که آیا دستور اجرایی سایبری آینده خطرات ناشی از آخرین هک Microsoft Exchange را نیز برطرف می کند.

مقامات روسی و چینی مسئولیت را انکار کرده اند. هفته گذشته ، وانگ ونبن ، سخنگوی وزارت امور خارجه گفت چین “قاطعانه با حملات سایبری و سرقت های اینترنتی از همه اشکال مخالفت و مبارزه می کند.”

مارگارت برنان در این گزارش همکاری داشت.

پلیس لندن به دلیل برخورد غیرقابل قبول “مراقبت” از سارا اورارد زیر آتش است

دولت انگلیس پس از درگیری پلیس با عزاداران شنبه شب که به یاد سارا اورارد ، زن 33 ساله ای که اوایل ماه جاری ناپدید شد و ادعا شد توسط یک افسر پلیس قتل داده شد ، خواستار تحقیقات است. همان نیروی پلیس. کرسیدا دیک ، کمیسر پلیس متروپولیتن ، روز یکشنبه گفت که “بیش از هر زمان دیگری مصمم تر” است که رهبری این سازمان را بر عهده بگیرد و گفت که استعفا را در نظر ندارد.

صدیق خان ، شهردار لندن و پریتی پاتل ، وزیر داخله انگلیس ، هر دو روز یکشنبه خواستار تحقیق مستقلی در مورد چگونگی تعطیل شدن مراقبت از سوی پلیس اصلی شهر به دلیل محدودیت های ویروس کرونا شدند.

پاتل گفت که “برخی از تصاویر پخش شده از شبكه مراقبت در كلاپام ناراحت كننده است” و گفت كه وی از پلیس متروپولیتن درخواست كرده است “گزارش كامل در مورد آنچه اتفاق افتاده است” در مراسم مراقبت.

به گزارش بی بی سی ، پاتل افزود که وی از ناظر پلیس ، اداره بازرسی اعلیحضرت ، یک نهاد دولتی که نیروهای پلیس را ارزیابی می کند ، خواهد خواست تا موضوع را بررسی کند.

در یک بیانیه، خان تماس او را تکرار کرد و گفت که “صحنه های ناشی از پلیس مراقبت کاملاً غیرقابل قبول است.” وی افزود که روز یکشنبه با کمیسر و معاون کمیسیون در تالار شهر صحبت کرده است تا آنها توضیح دهند که چه اتفاقی افتاده است ، و گفت که “از توضیحی که ارائه داده اند راضی نیست”.

خان گفت که او همچنین از بازرسی کل نیروهای اداری برای تحقیق کامل در مورد آنچه اتفاق افتاده است ، خواسته است ، و او همچنین از اداره مستقل رفتار پلیس درخواست می کند تا اقدامات افسران در محل مراقبت را بررسی کند.

بیک خبر داد ، دیک ، اولین کمیسر زن پلیس متروپولیتن ، گفت که وی در مورد نیاز به “بازبینی هوشیار” موافقت می کند و از نحوه پاسخگویی افسران به “جمعیت واقعاً زیاد” دفاع می کند.

Everard ، یک مدیر بازاریابی ، آخرین بار در تاریخ 3 مارس دیده شد که از خانه یکی از دوستانش در جنوب لندن به خانه می رود. وی یک هفته بعد مرده پیدا شد و پلیس تأیید کرد که وین کونزس ، یک افسر نخبه با فرماندهی حفاظت دیپلماتیک پلیس متروپولیتن لندن ، به آدم ربایی و قتل متهم شده است.

به دلیل دستورالعمل های ویروس کرونا ، مراسم رسمی مراقبت رسمی برنامه ریزی شده در Clapham Common – در نزدیکی جایی که آخرین بار Everard زنده دیده شد – پس از اینکه قاضی حکم داد “حضور در یک اجتماع بزرگ غیرقانونی است” ، لغو شد.

عزاداران تشویق می شدند که به احترام اورارد در خانه خود شمع روشن کنند ، و برخی برای ادای احترام به زندگی اوراراد در طول روز در Clapham Common احترام می گذاشتند ، از جمله کاترین ، دوشس کمبریج ، که اسکای نیوز گزارش داد بازدید غیر رسمی کرد

اما تا عصر شنبه ، به هر حال چند صد عزادار جمع شدند. زنان از هر طیف زندگی به عنوان یک عمل همبستگی به این گردهمایی پیوستند و خواستار ایمنی از خشونت مردان بودند.

به گفته هلن بال ، دستیار کمیسر پلیس متروپولیتن ، افسران حاضر در صحنه شرکت کنندگان را به ترک تشویق کردند و اکثریت قریب به اتفاق مردم سریعاً آنجا را ترک کردند.

وی گفت: “با کمال تاسف ، اقلیت کمی از مردم شروع به شعار دادن به مأموران ، هل دادن و پرتاب اقلام کردند.”

این مراقبت منجر به چهار دستگیری شد که به گفته پلیس به دلیل جرایم نظم عمومی و نقض مقررات بهداشتی بوده است.

تاکتیک های افسران پس از آن توسط فعالان و قانون گذاران از طیف سیاسی زیر سوال رفته و مورد انتقاد قرار گرفته است فیلم های و تصاویر مربوط به پین ​​شدن و برداشتن زنان با زور به صورت آنلاین منتشر شد.

با اشاره به افسر پلیس متهم به قتل اورارد ، حاضران فریاد زدند: “خودت را دستگیر کن!” “پلیس ، به خانه برو!”

در بیانیه ای صبح روز یکشنبه ، بال گفت که افسران زمینی “مطلقا نمی خواستند در موقعیتی قرار بگیرند که اقدامات اجرایی لازم باشد” ، اما “به دلیل نیاز شدید به حفاظت از ایمنی مردم در این موقعیت قرار گرفتند … همه گیری به پایان نرسیده است و اجتماعات مردم از سرتاسر لندن و فراتر از آن هنوز امن نیستند “و افزود:” ما می پذیریم که اقدامات افسران ما زیر سوال رفته است. “

خان گفت که وی هفته گذشته “اطمینان” از مت دریافت کرده است که این مراقبت “با حساسیت پلیس” انجام خواهد شد.

“از نظر من ، این مورد نبود.” خان گفت.

بسیاری از جمله رهبران حزب لیبرال دموکرات خواستار دیک شده اند استعفا دادن از پست خود را بیش از رفتار افسران خود. دیک آن را “پلیس سخت و سخت” خواند و گفت که فکر نمی کند “کسی که در این عملیات نبوده باشد واقعاً می تواند نظر مفصلی درباره درست و نادرست بودن بدهد.”

در ویدئویی که در توییتر، پاتسی استیونسون ، زنی که توسط مأموران قلاب شد ، با دعوت از عموم مردم برای نشان دادن حمایت خود از میدان پارلمان لندن ، مردم را تشویق کرد تا داستان را از پلیس دور کنند و به آنچه برای اورارد اتفاق افتاده برگردانند.

به دنبال آدم ربایی و قتل سارا اورارد در لندن ، محل یادبود در Clapham Common Bandstand
پس از آدم ربایی و قتل سارا اورارد ، پلیس در هنگام جمع شدن مردم در یک مکان یادبود در Clapham Common Bandstand ، یک زن را بازداشت کرد.

HANNAH MCKAY / رویترز


مرگ اورارد باعث عصبانیت ملی شد و بحث ملی در انگلیس درباره ایمنی زنان و تجاوز جنسی را دوباره برانگیخت.

“بریتانیا نخست وزیر بوریس جانسون گفت. “هر زنی باید احساس کند که با خیال راحت در خیابان های ما راه می رود.”