2021年3月15日 星期一

.微軟競相避免大規模網路攻擊時,駭客蜂擁而至

Microsoft accuses 'state-backed' Chinese hackers over email cyber attacks 

微軟指責「國家支持」的中國駭客因電子郵件網路攻擊



siw


公司現在正在調查洩漏的可能性,該洩漏可能已觸發大規模交換,損害了補丁發布之前的安全性



圖為 2014 年 月 17 日在華盛頓州雷德蒙市的 Microsoft 總部校園。國際網路間諜團伙一直在攻擊該公司受歡迎的 Exchange 電子郵件服務的伺服器。


到了二月下旬,微軟公司的工程師們已經工作了數週時間,解決了該公司流行的 Exchange 電子郵件服務中,一些令人震驚的弱點。他們急於針對 3 月的第二個星期二發送修復包,這是網路安全領域稱為「星期二補丁」,每月慣例的一部分。


駭客搶先了一步。在經過數周謹慎的攻擊後,中國駭客迅速採取行動。結果是一場大規模的運動,在短短幾天之內吞沒了成千上萬的組織。


出了點問題。通常這是一個相對平穩的過程(Microsoft 經常使用該過程來辨識和修復,其流行軟體中的弱點),如今已演變成一場全球網路安全危機,現在引起了白宮的注意。


研究人員總共確定了四個漏洞,並將其分類為嚴重漏洞,這意味著駭客可以在看不見的情況下,使用它們來竊取電子郵件和其他數據。


電子郵件網路安全策略執行副總裁 Ryan Kalember 說,但是在 2 月 26 日,這家軟體巨頭發布補丁之前,攻擊者開始大規模滲透這些電子郵件系統 - 徬彿他們知道自己的機會之窗即將關閉。安全公司 Proofpoint Inc.


據兩位知情人士透露,微軟目前正在調查洩漏的可能性,該洩漏可能在補丁發布之前,觸發了這些大規模的 Exchange 入侵。消息人士未獲授權就此事發表評論。他們說,如果確實存在洩漏,則可能來自公司的安全部門或政府合作夥伴之一,或來自獨立研究人員。他們說,洩漏可能是惡意的,也可能是單獨的安全漏洞的一部分。


微軟發言人拒絕對此調查發表評論。


微軟在 3 月 2 日提前一周發布補丁時,它保護了一些客戶端,但隨著越來越多的駭客湧入,它還充當了攻擊的促進劑。在他們爭先恐後地闖入網路之前,這些駭客入侵了全球的銀行和政府,以及學校、醫院、製造商和區域性酒店連鎖店。


網路安全公司 ESET,在最近的一篇部落格文章中說,攻擊 Exchange 伺服器的網路間諜團伙的數量,現已達到至少 10 個,到上週末,全球至少有 60,000 例駭客攻擊的受害者,美國官員瞭解調查情況。據安全研究人員稱,由於該漏洞已在犯罪駭客圈中廣泛傳播,攻擊者的數量可能會大大增加。


「總統已獲簡報,並正在密切跟蹤該問題,」美國國家安全委員會發言人週三說。在電子郵件中。 「白宮正在與我們的公共和私人合作夥伴全天候工作,使國會保持最新狀態,評估其影響並確定我們需要採取的下一步措施。」


零時差的重要性

駭客一直在尋找軟體中的關鍵缺陷,即零時差,因為它們可以被用來從使用者那裡竊取數據。軟體使用的範圍越廣,對缺陷的瞭解就越有價值。儘管許多政府和大公司,已經遷移到了更現代的系統,但是 Microsoft Exchange 仍被全球成千上萬的客戶使用。從 1 月初到 2 月初的某個時間,該公司似乎已經瞭解到其 Exchange 電子郵件軟體中的缺陷。一家名為 DEVCORE 的台灣網絡研究公司首先於 1 月 5 日通知微軟。


總部位於弗吉尼亞州的網路安全公司 Volexity,和以發現此類漏洞而聞名的研究人員 - 特意用一個隱秘的名字,稱其為橙色的蔡(Orange Tsai) - 說,他們提醒該公司注意 1 月至 2 月初之間的零時差。微軟通常需要花費幾週的時間來創建更安全版本的流行軟體,並且該公司致力於在此期間,保持對所有漏洞的廣泛瞭解。


據熟悉該程序的前美國官員說,美國政府中的一些機構通常會提前通知,包括美國國家安全局和美國國土安全部。全球不同地區的 82 家網路安全公司也是如此,這些活動透過 Microsoft Active Protections 計劃(MAPP)得到了預先通知。


原因很簡單。微軟發布補丁後,世界各地的駭客競相尋找,潛在的弱點並加以修復,然後嘗試入侵更新設備緩慢的公司 MAPP 成員,包括阿里巴巴集團控股有限公司和百度公司等中國公司,儘管並非如此每隔零天,每個成員都會得到提前通知。網路安全公司 DomainTools 的高級安全研究員 Joe Slowik 說:「每個供應商和每個事件都非常重要。」


攻擊升級

追蹤該活動的幾家公司表示,在微軟計劃發布有缺陷的電子郵件軟體的修補程序的大約 10 天之前,被駭客入侵的 Exchange 客戶數量突然急劇增加。從 2 月 28 日開始,ESET 使用 Exchange 的零時差觀察了五個新的網路間諜活動組 - 安全研究人員將這些組暱稱為「 Tick」,「 Lucky Mouse」,「 Calypso」,「 Websiic」和「 Winnti」。除此之外,微軟已經將高級駭客小組稱為 Hafnium,該小組已經使用了幾個月的漏洞。


北京在 3 月 3 日將微軟對中國的犯罪行為的指控描述為「毫無根據的指控」,並呼籲提供證據支持它。


雖然 ESET 尚未對這些組織的起源進行自己的分析,但各種安全研究人員已發表報告,暗示另外五個組也與中國有聯繫-例如,評估該組中的駭客說中文或透過 IP 進行操作地址位於中國。


Lucky Mouse 利用該漏洞破壞了中東的一個政府組織,而 Calypso 利用 Microsoft Exchange 闖入了中東和南美的政府目標。 ESET表示,除亞洲的私人公司外,Websiic還針對東歐的一個政府組織。駭客還襲擊了私營公司。據 ESET 稱,Tick 損害了東亞一家資訊技術公司的伺服器。Winnti 利用該漏洞在東亞的一家石油天然氣公司和建築設備公司竊取電子郵件,在補丁發布後的數小時內達到了兩個目標。


這次駭客攻擊僅在三個月前就發現了一次俄羅斯全面的攻擊,該攻擊中,惡意軟體被下載到位於德克薩斯州的軟體公司 SolarWinds Corp 的多達 18,000 個客戶的計算機上。


網路安全專家和前政府官員擔心這些事件表示,再次有眼光的政府駭客正轉向大規模入侵活動,從而對其造成嚴重破壞。


與最終以高價值政府和技術網路為目標的 SolarWinds 駭客不同,Microsoft Exchange 的受害者包括許多中小型企業,以及地方政府網路。前美國空軍旅長,現任 Arete Advisors 總裁兼首席網路策略師吉姆·賈格(Jim Jaeger)表示,在兩次駭客攻擊之間,攻擊者已經使受害者脫離了網路上的大量網路。


受害者挺身而出

大多數中國襲擊受害者的身份仍然未知。挪威議會宣佈,這是 Microsoft Exchange 活動的一部分,遭到駭客攻擊,並表示大量數據已丟失。歐洲銀行管理局(European Banking Authority)表示,它也是受害者,但尚未找到證據證明駭客竊取了機密。同時,許多 Microsoft 客戶仍然處於危險之中。


波士頓的網路安全公司 BitSight Technologies 表示,本週的網路掃描顯示,儘管有 FBI 和國土安全部的緊急要求,近三分之一的易受攻擊的 Microsoft Exchange 客戶尚未對其系統進行修補。Proofpoint 的 Kalember 公司專門研究電子郵件安全,他說,過去幾週已經顯示,微軟補丁崩潰可能造成的後果是多麼嚴重。 ,「 他說。」顯然不是。



沒有留言:

張貼留言