ما لا يقل عن 30 ألف منظمة أمريكية تم اختراقها حديثًا عبر الثقوب في برنامج البريد الإلكتروني الخاص بـ MS

15

تم اختراق ما لا يقل عن 30000 مؤسسة في جميع أنحاء الولايات المتحدة – بما في ذلك عدد كبير من الشركات الصغيرة والبلدات والمدن والحكومات المحلية – على مدار الأيام القليلة الماضية من قبل وحدة تجسس إلكترونية صينية عدوانية بشكل غير عادي تركز على سرقة البريد الإلكتروني من المنظمات الضحية ، بحسب مصادر متعددة لـ KrebsOnSecurity. تستغل مجموعة التجسس أربعة عيوب تم اكتشافها حديثًا في برنامج البريد الإلكتروني Microsoft Exchange Server ، وقد قامت بزرع مئات الآلاف من منظمات الضحايا في جميع أنحاء العالم بأدوات تمنح المهاجمين تحكمًا عن بُعد. على الأنظمة المتأثرة.

قيد التشغيل في 2 آذار (مارس) ، أصدرت Microsoft تحديثات أمنية طارئة لسد أربعة ثغرات أمنية في إصدارات Exchange Server من 2013 حتى 2019 والتي كان المتسللون يستخدمونها بنشاط لسرقة اتصالات البريد الإلكتروني من أنظمة واجهة الإنترنت التي تعمل بنظام Exchange.

في الأيام الثلاثة منذ ذلك الحين ، يقول خبراء أمنيون إن نفس مجموعة التجسس الإلكتروني الصينية صعدت بشكل كبير من هجماتها على أي خوادم Exchange ضعيفة وغير مصححة في جميع أنحاء العالم. تركت وراءها “قذيفة الويب” ، وهي أداة اختراق سهلة الاستخدام ومحمية بكلمة مرور يمكن الوصول إليها عبر الإنترنت من أي متصفح. تمنح قذيفة الويب المهاجمين وصولاً إدارياً إلى خوادم الكمبيوتر الخاصة بالضحية. سيطرت مجموعة القرصنة الصينية التي يُعتقد أنها مسؤولة على “مئات الآلاف” من خوادم Microsoft Exchange في جميع أنحاء العالم – حيث يمثل كل نظام ضحية منظمة واحدة تقريبًا تستخدم Exchange لمعالجة البريد الإلكتروني.

قالت Microsoft إن عيوب Exchange مستهدفة من قبل طاقم قرصنة صيني لم يتم التعرف عليه سابقًا أطلق عليه اسم “Hafnium” ، وقالت إن المجموعة كانت تنفذ هجمات مستهدفة على أنظمة البريد الإلكتروني التي تستخدمها مجموعة من القطاعات الصناعية ، بما في ذلك باحثو الأمراض المعدية وشركات المحاماة ، مؤسسات التعليم ، ومقاولي الدفاع ، ومراكز الفكر السياسية ، والمنظمات غير الحكومية.

يرجع الفضل في الاستشارات الأولية لمايكروسوفت حول عيوب البورصة إلى ريستون ، فيرجينيا. rabilities. قال رئيس Volexity ستيفن أدير إن الشركة شاهدت لأول مرة مهاجمين يستغلون بهدوء ثغرات البورصة في 6 يناير 2021 ، وهو اليوم الذي كان معظم العالم ملتزمًا بالتغطية التلفزيونية لأعمال الشغب. في مبنى الكابيتول الأمريكي.

لكن أدير قال إنه خلال الأيام القليلة الماضية تحولت مجموعة القرصنة إلى حالة تأهب قصوى ، وتحركت بسرعة لمسح الإنترنت لخوادم Exchange التي لم تكن موجودة بعد محمي بواسطة تلك التحديثات الأمنية.

“لقد عملنا على عشرات الحالات حتى الآن حيث تم وضع قذائف الويب على نظام الضحايا مرة أخرى في 28 فبراير قال أدير. “حتى إذا قمت بالتصحيح في نفس اليوم الذي نشرت فيه Microsoft تصحيحاتها ، فلا تزال هناك فرصة كبيرة لوجود قشرة ويب على الخادم الخاص بك. الحقيقة هي ، إذا كنت تقوم بتشغيل Exchange ولم تقم بتصحيح هذا الأمر بعد ، فهناك احتمال كبير أن تكون مؤسستك قد تعرضت بالفعل للاختراق. “

تم الوصول إليها للتعليق ، Microsoft قالت إنها تعمل عن كثب مع وكالة الأمن السيبراني وأمن البنية التحتية الأمريكية (CISA) ، والوكالات الحكومية الأخرى ، وشركات الأمن ، للتأكد من أنها تقدم أفضل توجيه ممكن وتخفيف عملائها.

قال متحدث باسم Microsoft في بيان مكتوب: “إن أفضل حماية هي تطبيق التحديثات في أسرع وقت ممكن عبر جميع الأنظمة المتأثرة”. “نواصل مساعدة العملاء من خلال توفير إرشادات تحقيق إضافية والتخفيف. يجب على العملاء المتأثرين الاتصال بفرق الدعم للحصول على مساعدة وموارد إضافية. “

قال أدير إنه أرسل عشرات المكالمات اليوم من الوكالات الحكومية المحلية والولاية التي حددت الأبواب الخلفية في خوادم Exchange الخاصة بهم ويطلبون المساعدة. تكمن المشكلة في أن تصحيح العيوب لا يؤدي إلا إلى حجب الطرق الأربع المختلفة التي يستخدمها المتسللون للدخول. ولكنه لا يفعل شيئًا للتراجع عن الضرر الذي ربما يكون قد حدث بالفعل.

تغريدة من كريس كريبس ، المدير السابق لوكالة الأمن السيبراني وأمن البنية التحتية ، ردًا على تغريدة من مستشار الأمن القومي بالبيت الأبيض جيك سوليفان.

بكل المقاييس ، فإن استئصال هؤلاء المتسللين سيتطلب جهود تنظيف عاجلة وغير مسبوقة على مستوى البلاد. يقول أدير وآخرون إنهم قلقون من أنه كلما استغرق الضحايا وقتًا أطول في إزالة الأبواب الخلفية ، زاد احتمال قيام المتسللين بالمتابعة عن طريق تثبيت أبواب خلفية إضافية ، وربما توسيع الهجوم ليشمل أجزاء أخرى من البنية التحتية لشبكة الضحية. .

نشر باحثون أمنيون أداة على مستودع أكواد Github الخاص بشركة Microsoft تتيح لأي شخص فحص الإنترنت بحثًا عن خوادم Exchange التي أصيبت بصدفة الباب الخلفي.

)

لقد شاهد KrebsOnSecurity أجزاء من قائمة الضحايا تم تجميعها عن طريق تشغيل هذه الأداة ، وهي ليست صورة جميلة. قذيفة الويب الخلفية موجودة بشكل يمكن التحقق منه على شبكات الآلاف من المنظمات الأمريكية ، بما في ذلك البنوك والاتحادات الائتمانية والمؤسسات غير الربحية ومقدمي الاتصالات والمرافق العامة والشرطة ووحدات الإطفاء والإنقاذ.

“إنها أقسام الشرطة والمستشفيات وأطنان من حكومات المدن والولايات والاتحادات الائتمانية” ، قال أحد المصادر الذي يعمل عن كثب مع المسؤولين الفيدراليين بشأن هذه المسألة. “تعرض كل من يقوم بتشغيل Outlook Web Access المستضاف ذاتيًا ولم يتم تصحيحه منذ بضعة أيام لهجوم يوم الصفر.”

خبير أمن إلكتروني حكومي آخر الذين شاركوا في مكالمة حديثة مع العديد من أصحاب المصلحة المتأثرين بفورة القرصنة هذه ، يقلقون من أن جهود التنظيف المطلوبة ستكون هرقل.

“أثناء المكالمة ، كانت العديد من الأسئلة من المناطق التعليمية أو وقال المصدر ، الذي تحدث شريطة عدم ذكر اسمه ، “الحكومات المحلية التي تحتاج جميعها إلى المساعدة”. “إذا كانت هذه الأرقام تصل إلى عشرات الآلاف ، فكيف تتم الاستجابة للحوادث؟ لا توجد فرق كافية للاستجابة للحوادث للقيام بذلك بسرعة. “

عندما أصدرت تصحيحات لعيوب Exchange Server الأربعة يوم الثلاثاء ، أكدت Microsoft أن الثغرة الأمنية لم تؤثر العملاء الذين يقومون بتشغيل خدمة Exchange Online (البريد الإلكتروني المستضاف على السحابة من Microsoft للشركات). لكن المصادر تقول إن الغالبية العظمى من المنظمات التي تعرضت للضحية حتى الآن تشغل شكلاً من أشكال أنظمة البريد الإلكتروني Microsoft Outlook Web Access (OWA) التي تواجه الإنترنت جنبًا إلى جنب مع خوادم Exchange داخليًا.

” قال خبير الأمن السيبراني الحكومي إنه سؤال يستحق السؤال ، ما هي توصيات Microsoft التي ستكون؟ “سيقولون” التصحيح ، لكن من الأفضل الانتقال إلى السحابة “. ولكن كيف يتم تأمين منتجاتهم غير السحابية؟ تركهم يذبلون في الكرمة. “

قال خبير الأمن السيبراني الحكومي إن هذه الجولة الأخيرة من الهجمات غير معهود لأنواع القرصنة على مستوى الدولة التي تُنسب عادةً إلى الصين ، والتي تميل إلى إلى التركيز بشكل عادل على المساومة على أهداف استراتيجية محددة.

“هذا متهور” ، قال المصدر. “يبدو أن الجهات الفاعلة الحكومية الصينية غير مألوفة لهذا الطابع العشوائي.”

قالت Microsoft إن غارات Hafnium على خوادم Exchange الضعيفة ليست متصلة بأي حال من الأحوال بـ SolarWinds المنفصلة- الهجمات ذات الصلة ، حيث قامت مجموعة استخبارات روسية مشتبه بها بتثبيت أبواب خلفية في برامج إدارة الشبكة التي تستخدمها أكثر من 18000 منظمة.

“ما زلنا لا نرى أي دليل على أن الفاعل وراء SolarWinds اكتشف أو قالت الشركة “استغلوا أي ثغرة أمنية في منتجات وخدمات مايكروسوفت”.

ومع ذلك ، فإن أحداث الأيام القليلة الماضية قد تنتهي إلى حد بعيد بطمس الضرر الذي تسبب فيه متسللوا SolarWinds.

هذه قصة سريعة الحركة ، ومن المحتمل أن يتم تحديثها عدة مرات على مدار اليوم. ترقبوا.

العلامات: Hafnium، عيوب خادم Microsoft Exchange، Steven Adair، Volexity

تم نشر هذا الإدخال يوم الجمعة ، 5 مارس ، 2021 الساعة 4:07 مساءً وتم تقديمه بموجب أحدث التحذيرات ، العاصفة القادمة ، وقت التصحيح. يمكنك متابعة أي تعليقات على هذا الإدخال من خلال موجز RSS 2.0. يمكنك التخطي إلى النهاية وترك تعليق. والأزيز حاليا لا يسمح.