Quatro novos grupos de hackers se juntaram a uma ofensiva contínua contra os servidores de e-mail da Microsoft
Computação

Quatro novos grupos de hackers se juntaram a uma ofensiva contínua contra os servidores de e-mail da Microsoft

No início de março, hackers chineses que visam servidores Microsoft Exchange se juntaram a outros grupos em uma espécie de frenesi

Uma campanha de hackers ligada ao governo chinês revelada pela Microsoft no início de março aumentou rapidamente. Pelo menos quatro outros grupos de hackers distintos estão agora atacando falhas críticas no software de e-mail da Microsoft em uma campanha cibernética que o governo dos Estados Unidos descreve como “ampla exploração doméstica e internacional” com o potencial de impactar centenas de milhares de vítimas em todo o mundo.

A partir de janeiro desse ano, hackers chineses conhecidos como Hafnium começaram a explorar vulnerabilidades em servidores Microsoft Exchange. Mas desde que a empresa revelou publicamente a campanha, mais quatro grupos se juntaram, e os hackers chineses originais abandonaram a pretensão de furtividade e aumentaram o número de ataques que estão realizando. A lista crescente de vítimas inclui dezenas de milhares de empresas e escritórios do governo dos EUA visados ​​pelos novos grupos.

“Existem pelo menos cinco grupos diferentes em atividade que parecem estar explorando as vulnerabilidades”, diz Katie Nickels, que lidera uma equipe de inteligência da empresa de segurança cibernética Red Canary que está investigando os hackers. Ao rastrear ameaças cibernéticas, os analistas de inteligência agrupam grupos de atividades de hacking pelas técnicas, táticas, procedimentos, máquinas, pessoas e outras características específicas que observam. É uma forma de rastrear as ameaças que eles enfrentam.

Hafnium é um sofisticado grupo de hackers chinês que realiza campanhas de espionagem cibernética contra os Estados Unidos, de acordo com a Microsoft. Eles são um superpredador – exatamente o tipo que sempre é seguido de perto por “abutres” oportunistas e espertos.

A atividade rapidamente acelerou assim que a Microsoft fez seu anúncio no início de março. Mas exatamente quem são esses grupos de hackers, o que eles querem e como estão acessando esses servidores ainda não está claro. É possível que o grupo Hafnium original tenha vendido ou compartilhado seu código exploit (um código que permite que um hacker aproveite uma vulnerabilidade) ou que outros hackers tenham utilizado engenharia reversa nos exploits com base nas correções que a Microsoft lançou, explica Nickels.

“O desafio é que tudo isso é muito obscuro e há muitas sobreposições”, diz Nickels. “O que vimos é que, desde quando a Microsoft publicou sobre o Hafnium, ele se expandiu para além do Hafnium. Vimos atividades que parecem diferentes tanto no sentido de táticas e técnicas quanto de procedimentos do que relataram”.

Ao explorar vulnerabilidades em servidores Microsoft Exchange, que as organizações usam para operar seus próprios serviços de e-mail, os hackers podem criar um web shell — uma ferramenta de hacking acessível remotamente que permite facilmente o acesso backdoor e controle da máquina infectada — e controlar o servidor comprometido pela Internet e, em seguida, roubar dados de toda a rede de seu destino. O web shell significa que, embora a Microsoft tenha lançado correções para as falhas — que apenas 10% dos clientes do Exchange aplicaram até o início de março, de acordo com a empresa — o hacker ainda tem acesso ao backdoor aos seus alvos.

Aplicar as correções de software da Microsoft é um primeiro passo crucial, mas o esforço total de limpeza do sistema será muito mais complicado para muitas vítimas em potencial, especialmente quando os hackers se movem livremente para outros sistemas na rede.

“Estamos trabalhando em estreita colaboração com a CISA [Cybersecurity and Infrastructure Security Agency], outras agências governamentais e empresas de segurança, para garantir que estamos fornecendo a melhor assessoria e mitigação possível para nossos clientes”, disse um porta-voz da Microsoft. “A melhor proteção é aplicar atualizações o mais rápido possível em todos os sistemas afetados. Continuamos a ajudar os clientes, fornecendo investigação adicional e orientação de mitigação. Os clientes afetados devem entrar em contato com nossas equipes de suporte para obter ajuda e recursos adicionais”.

Com vários grupos agora atacando as vulnerabilidades, espera-se que os hacks afetem desproporcionalmente as organizações que menos podem se dar ao luxo de se defender deles, como pequenas empresas, escolas e governos locais, disse o ex-oficial de segurança cibernética dos EUA, Chris Krebs.

“Porquê?” Krebs perguntou no Twitter. “Isso é uma demonstração de força logo nos primeiros dias do presidente Biden para testar sua determinação? É uma gangue de crimes cibernéticos fora de controle? Empreiteiros enlouqueceram?”

Com potencialmente centenas de milhares de vítimas em todo o mundo, esta campanha de hacking do Exchange afetou mais alvos do que o ataque hacker a SolarWinds que o governo dos EUA está lutando para arrumar. Mas, como com esse episódio, os números não são tudo: os hackers russos por trás do episódio na empresa SolarWinds eram altamente disciplinados e perseguiam alvos específicos de alto valor, embora tivessem acesso potencial a muitos milhares.

O mesmo se aplica aqui. Mesmo que os números totais sejam alarmantes, nem todos são catastróficos. “Todos [os ataques] esses não são iguais”, diz Nickels. “Existem servidores Exchange vulneráveis ​​onde a porta [dos códigos] está aberta, mas não sabemos se um inimigo passou por ela. Existem servidores ligeiramente comprometidos; talvez um web shell seja descartado, mas nada além disso. Depois, há a outra extremidade do espectro, onde os hackers tiveram atividades subsequentes e mudaram para outros sistemas”.

É raro a Casa Branca comentar sobre questões de cibersegurança, mas o governo Biden teve motivos para falar muito sobre hackers em seus primeiros dois meses de mandato, entre o ataque a SolarWinds e este último incidente. “Estamos preocupados com o grande número de vítimas e estamos trabalhando com nossos parceiros para entender o alcance disso”, disse a secretária de imprensa da Casa Branca, Jen Psaki, durante uma entrevista coletiva no início do mês. “Os proprietários de rede também precisam considerar se já foram comprometidos e devem tomar as medidas adequadas imediatamente”.

Nossos tópicos