De ce atacul cibernetic la serviciul de mail al Microsoft nu trebuie ignorat: ce s-a întâmplat și de ce contează

Serverele Microsoft, unde sunt stocate serviciile de mail dezvoltate de companie, au fost atacate de hackerii chinezi. Atacul e unul mai grav decât pare la prima vedere.

În urmă cu o săptămână, gigantul Microsoft recunoștea că serverele sale, unde sunt găzduite serviciile de mail Microsoft Exchange, au devenit ținta hackerilor. Cel mai probabil, e vorba de infractori cibernetici din China, reuniți în grupul cunoscut sub numele de Hafnium. Vulnerabilitățile au fost, se pare, descoperite, în urmă cu ceva vreme.

Dar reprezentanților Microsoft le-a luat ceva timp să recunoastă acest lucru. Chiar și oficialii americani s-au arătat îngrijorați, din moment ce serviciile de mail ale Microsoft sunt oferite unor companii mari din Statele Unite și nu numai. Pe lista clienților se află școli, instituții academice, instituții financiare și alte entități din întreaga lume. Atacul a fost unul de proporții și ar putea duce la schimbări majore.

Ar putea slăbi încrederea corporațiilor în sistemele software de securitate și, pe cale de consecință, ar putea conduce la investiții mai mari în această zonă. În oricare dintre cazuri, America n-ar trebui să stea liniștită.

Nu toți eroii poartă mantii: pilotul șef Florin Rotaru și-a sacrificat propria viață pentru a salva mii de oameni, nu a apucat să-și vadă fiul nebotezat

Întrebare de cultură generală: ce este Africa, țară sau continent? Greșeala pe care o fac din ce în ce mai mulți români

În ce a constat, mai exact, atacul la serverele Microsoft

Pe data de 2 martie, Microsoft a recunoscut public faptul că hackerii au profitat de vulnerabilități în serverele Microsoft Exchange, adică serviciile de mail oferite de companie la scară largă  – de la agenții guvernamentale până la instituții academice sau business-uri din diverse domenii. Compania are la activ lansate patch-uri de securitate pentru versiunile 2010, 2013, 2016 și 2019 ale Exchange.

Dar se pare că în toate ar exista diverse breșe, care au fost exploatate de hackeri. Astfel de acțiuni durează de mai multe vreme, dar la începutul anului s-au intensificat, iar Microsoft n-a mai putut să țină totul ascuns. Experții au mai observat, însă, încă ceva, un detaliu extrem de semnificativ. Microsoft a venit cu un update de securitate chiar și pentru ediția Exchange din 2010, deși suportul tehnic s-a încheiat, teoretic, în octombrie anul trecut.

Hackerii ar fi putut ținti, așadar, inclusiv vulnerabilități care sunt mai vechi de 10 ani, scrie CNBC. 

De ce serverele Microsoft Exchange

Microsoft Exchange e o soluție oferită de compania fondată de Bill Gates încă din 1996, adică de mai bine de două decenii. E o soluție populară de software pentru entități și corporații din întreaga lume. Acolo sunt centralizate detalii importante din activitatea clienților acestor servere – de la mailuri, agende, programări, strategii și multe altele. E lesne de înțeles de ce chinezii vor acces la așa ceva.

Mai ales că printre clienții acestui servicii se află și multe agenții guvernamentale din Statele Unite.

După ce a recunoscut vulnerabilitățile, Microsoft s-a grăbit să le ceară clienților să descarce actualizările de securitate pentru Exchange Server. Doar că s-ar putea să fie un pic cam târziu și compania ar trebui, de fapt, să lucreze la altceva. Și, dacă nu poate singură, să ceară ajutor.

Când au început atacurile și cum au fost sparte serverele?

Atacurile au început undeva la începutul lui ianuarie, dar s-au intensificat ulterior. Se pare că și-n prezent, hackerii chinezi ar încerca să găsească vulnerabilități similare și-n alte servere. Tomm Burt, vicepreședinte al Microsoft, a încercat să explice cum au fost atacate serverele.

”…au avut acces la serverele Exchange fie prin parole furate, fie prin identificarea unor vulnerabilități de care au profitat ca să se deghizeze în cineva care ar fi putut avea acces. Au creat apoi ceea ce se numește web shell pentru a compromite de la distanță serverul. Atacatorii au instalat apoi programe software cu care au furat date din email-uri” – explică oficialul Microsoft.

A fost afectat și serviciul de cloud al Office 365?

Nu. Microsoft susține că acest serviciu nu a fost afectat.

Cine-s victimele?

Diverse companii contractoare din industria apărării din SUA, școli și alte companii americane, unele din retail. Atacul a avut ramificații și-n Europa – Autoritatea Bancară Europeană a anunțat că a fost ținta hackerilor, dar că aceștia nu au obținut date. Instituția a transmis că își dublează eforturile pentru a se proteja.

Câte entități au fost afectate în total?

Presa internațională oferă informații diferite pe acest subiect, dar jurnaliștii de la Wall Street Journal vorbesc despre nu mai puțin de 250.000 de entități. În realitate, numărul ar putea fi mai mare de atât.

Cum a reacționat Microsoft?

Deși i-a luat ceva timp să recunoască atacurile, compania americană și-a sfătuit clienții să instaleze patch-urile de securitate lansate săptămâna trecută și stă la dispoziție celor afectați cu detalii legate de cât de grave au fost atacurile și ce urme au lăsat în fiecare companie în parte.

Casa Albă, cu ochii în patru

Administrația Biden s-a arătat îngrijorată de aceste atacuri.

„Vorbim despre o ameninţare reală. Fiecare instituţie care operează pe astfel de servere, fie că e din sectorul guvernamental, privat sau academic, trebuie să acţioneze pentru a rezolva problemele”, a transmis purtătorul de cuvânt al Casei Albe, Jen Psaki.

De asemenea, Consiliul Naţional de Securitate al SUA a precizat că este „esenţial” ca orice organizaţie care operează de pe un „server vulnerabil” să adopte imediat măsuri pentru a vedea dacă a fost ţintită sau nu de hackeri.

De ce atacul poate fi, de fapt, o poartă lăsată deschisă pentru acțiuni similare

Atacul la serverele Microsoft ar putea avea, de fapt, consecințe mult mai grave decât cele recunoscute acum de compania fondată de Bill Gates. În timp ce specialiștii în securitate cibernetică se pregăteau să astupe găurile făcute de chinezi în serverele Microsoft, Guvernul american se pregăteșe de ce e mai rău. Se concentrează să identifice alte câteva mii de servere posibil vulnerabile, care ar putea deveni ținta Beijingului.

Volexity, compania de securitate care a ajutat la descoperirea vulnerabilităților de la serverele Microsoft, susține că porțile sunt larg deschise și pentru alți infractori cibernetici. Cel mai optimist scenariu, dacă se poate spune așa, ar fi un spionaj cibernetic, care ar duce la furtul de date. Dar cea mai rea situație e reprezentată de atacuri de tip ransomware, pentru că asta ar însemna ramificații asupra întregii rețele.

Ce au făcut rușii prin intermediul SolarWinds, despre care am scris AICI, ar putea fi ceva nesemnificativ în comparație cu ce ar putea face chinezii dacă reușesc să penetreze toate rețelele. Rușii n-au lăsat portițe deschise pentru nimeni. Campania chinezilor are ca scop exact contrariul.

Atacatorii care au vizat Microsoft Exchange n-au plecat cu mâna goală: au onținut acces la mailuri și au putut instala malware ca să obține acces și în viitor.

Consiliul Naţional de Securitate al Statelor Unite ale Americii a precizat că este esenţial ca orice organizaţie care operează de pe un server vulnerabil să adopte imediat măsuri pentru a vedea dacă a fost ţintită sau nu de hackeri.