Az ESET WeLiveSecurity blogjának szerdei bejegyzése szerint legalább 10 hekkercsoport ismerte és használta ki az Exchange Server korábban nem ismert sérülékenységét, amelyről legelőször január elején küldtek tájékoztatást a Microsoftnak tajvani biztonsági kutatók, és amelyre a szoftvercég március elején adott ki soron kívüli javításokat. A kezdeti információk még arról szóltak, hogy a sérülékenységet kihasználva egy kínai csoport hajtott végre korlátozott számú, célzott támadást, azóta viszont naponta bukkannak fel az újabb incidensekről szóló bejelentések, megvilágítva az egyre szélesebb körűnek és mind súlyosabbnak látszó ügyet.

Az Egyesült Államok kibervédelméért felelős kormányügynöksége már a hibajavítások másnapján külön figyelmeztetést adott ki a témában, azonnali intézkedéseket sürgetve a potenciálisan érintett szervezeteknél, a patch-ek telepítése ugyanis önmagában nem oldja meg a már kompromittált rendszerek problémáit. A Microsoft népszerű levelezőszolgáltatásának több verzióját is érintő sérülékenység már a múlt heti beszámolók alapján is több tízezer szervezetet érintett világszerte, de ezt egy nagyságrendel feljebb tehetjük, ahogy nyilvánvalóvá válik, hogy a támadásoknak egyáltalán nem csak egyesült államokbeli szervezetek estk áldozatául.

A legfrissebb hírek szerint a támadások a norvég parlament számítógépes infrastruktúrásáját is érintették, ahonnan a hekkerek adatokat szereztek meg, a német kiberbiztonsági hatóság pedig szerdán közölte, hogy az országban akár 60 ezer rendszer lehet érintett – ráadásul a tegnapi adatok alapján ebbők 25 ezret még mindig nem frissítettek vagy ellenőriztek. Időközben az Európai Bankhatóság (EBA) is nyilvánosságra hozta, hogy az Exchange Server sérülékenységére épülő informatikai támadások érték, egyelőre azonban nincs róla tudomása, hogy a támadóknak sikerült volna bármilyen adatot megszerezniük.

Nem csak a levelezés van veszélyben

Bár a Microsoft először a Hafnium néven hivatkozott, szofisztikált eszközöket használó és kínai állami hátterrel működő hekkercsoportot azonosította a támadások elkövetőjeként, az ESET szerint időközben kilenc másik csoportot is azonosítottak, amelyek igazolhatóan ezt a hibát próbálták kihasználni a kiszemelt rendszerek feltörésére. A cég kutatói szerint meglehetősen szokatlan, hogy még a sérülékenységek nyilvánosságra kerülése előtt ennyien hozzáférnek a megfelelő információkhoz, amit vagy azzal magyaráznak, hogy azok kiszivárogtak még a Microsoft bejelentése előtt, vagy valamilyen harmadik fél egyszerűen áruba bocsátotta azokat a kiberbűnözőknek.

Bár egyelőre az ESET is csak találgatni tud, a kutatók felhívják rá a figyelmet, hogy a Microsoftnál január 5-én bejelentett két kritikus bugot a hekkercsoportok is nagyjából ugyanekkor kezdték kihasználni.  A blogbejegyzés kitér rá, hogy már eddig is voltak jelei a kiberkémkedésen és az emailek megszerzésén túlmutató akcióknak, mint amilyen a kriptovaluta-bányászatot végző rosszindulatú szoftverek telepítése. Ennél is súlyosabb lehet, ha az Exchange Server sérülékenységét és a hátsó kapukat kihasználva felbukkannak a zsarolóprogramokkal operáló bűnözők, ugyanis az érintettek széles köréből adódóan a hasonló támadások nagyon könnyen ugyanilyen széles körű diszrupciót eredményeznének.