ВАШИНГТОН Как минимум 10 различных хакерских групп используют недавно обнаруженные недостатки в программном обеспечении почтовых серверов Microsoft Corp для взлома целей по всему миру, заявила компания ESET в посте блога в среду.
Широта использования добавляет срочности предупреждениям, которые делаются властями США и Европы о слабых местах, обнаруженных в программном обеспечении Microsoft Exchange.
Пробелы в безопасности широко используемого почтового и календарного решения оставляют дверь открытой для кибершпионажа в промышленном масштабе, позволяя злоумышленникам красть электронную почту практически по своему желанию с уязвимых серверов или перемещаться в другое место в сети. Десятки тысяч организаций уже были скомпрометированы, сообщило агентство Reuters на прошлой неделе, а новые жертвы ежедневно становятся достоянием общественности.
Ранее в среду, например, парламент Норвегии объявил, что данные были «извлечены» в нарушение, связанное с недостатками Microsoft. Немецкое агентство по надзору в сфере кибербезопасности также сообщило в среду, что взлом коснулся двух федеральных органов власти, хотя и отказалось их идентифицировать.
Хотя Microsoft выпустила исправления, медленный темп обновления многих клиентов — который эксперты частично приписывают сложности архитектуры Exchange — означает, что поле остается, по крайней мере, частично открытым для хакеров всех полос. Заплатки не удаляют доступ к черному ходу, который уже остался на машинах.
Кроме того, некоторые черные ходы, оставленные на взломанных машинах, имеют пароли, которые легко угадываются, так что новички могут взять их на себя.
Корпорация Майкрософт отказалась от комментариев по поводу темпов обновления клиентов. В предыдущих сообщениях, касающихся недостатков, компания подчеркивала важность «немедленного исправления всех поврежденных систем».
Несмотря на то, что хакерская деятельность, как представляется, сосредоточена на кибершпионаже, эксперты озабочены перспективой использования киберпреступниками, стремящимися получить выкуп, так как это может привести к широкомасштабным сбоям в работе.
В посте блога ESET говорится о том, что уже появились признаки эксплуатации киберпреступников, при этом одна из групп специализируется на краже компьютерных ресурсов для добычи крипто-валюты для проникновения на ранее уязвимые Exchange-серверы с целью распространения своего вредоносного ПО.
ESET назвала девять других ориентированных на шпионаж групп, которые, по ее словам, воспользовались недостатками, чтобы проникнуть в целевые сети — некоторые из которых другие исследователи связали с Китаем. Майкрософт винит во взломе Китай. Китайское правительство отрицает любую роль.
Интересно, что несколько групп, по-видимому, знали об этой уязвимости до того, как она была объявлена компанией Microsoft 2 марта.
Бен Рид (Ben Read), директор компании по кибербезопасности FireEye Inc, сказал, что не смог подтвердить точные детали в посте ESET, но сказал, что его компания также видела «несколько вероятных китайских групп», использующих недостатки Microsoft на разных волнах.
Исследователь ESET Матье Фау (Matthieu Faou) сказал в электронном письме, что это «очень необычно» для столь многих различных групп кибершпионажа иметь доступ к одной и той же информации до того, как она станет достоянием общественности.
Он предположил, что либо информация «каким-то образом просочилась» в преддверии объявления Microsoft, либо была найдена третьей стороной, поставляющей информацию об уязвимостях кибершпионам.
5 января тайваньские исследователи сообщили Microsoft, что обнаружили два новых недостатка, которые требуют исправления. Эти два были среди тех, которые начали использоваться злоумышленниками незадолго до или после дружественного сообщения.
Они сказали, что расследуют, была ли на их стороне кража или утечка, поскольку эксплуатация была обнаружена в дикой природе в ту же неделю позже. Пока что группа под названием «Девкора» сказала, что они не нашли никаких улик.
Хакеры высшего класса также часто становятся мишенью для других хакеров. Буквально на этой неделе Microsoft исправила один из недостатков, использованных подозреваемыми северокорейцами в попытках украсть информацию у западных исследователей.
Но одновременные открытия происходят довольно часто, отчасти потому, что исследователи используют одни и те же или похожие инструменты для поиска серьезных недостатков, а многие глаза смотрят на одни и те же дорогостоящие цели.
«Вполне вероятно, что некоторые группы актеров, возможно, использовали эти уязвимости и привели к тому, что атаки наблюдались другими поставщиками информационной безопасности», — заявил член Devcore Боуэн Хсу (Bowen Hsu) в интервью агентству Reuters.
Однако индустрия безопасности не может не знать о других теориях, в том числе о взломе систем Microsoft для отслеживания ошибок, что происходило в прошлом.
Комментарии