A Microsoft kedden adott tájékoztatást arról, hogy "korlátozott számú, célzott támadást" hajtott végre egy kínai csoport az Exchange Server eddig nem ismert sérülékenységét kihasználva. Néhány nap alatt viszont kiderült, hogy ennél lényegesen szélesebb kört érintő, súlyos problémáról van szó.

Ahogy arról mi is beszámoltunk, Redmond a Hafnium elnevezésű, szofisztikált eszközöket használó hekkercsoportot azonosította a támadások elkövetőjeként. A vélekedések szerint kínai állami hátterrel bíró csoport a Microsoft levelezőszolgáltatásának három verziójában (Exchange Server 2013, 2019, 2019) is meglévő, eddig ismeretlen sérülékenységeken keresztül jutott be különböző szervezetek rendszerébe.

A támadásokat Redmonddal párhuzamosan mások is megerősítették. A kiberbiztonságban érdekelt Volexity blogbejegyzésében például arról írtak, hogy az egy hete nyilvánosságra hozott sérülékenységek egyikén keresztül férkőztek be több ügyfelük rendszerébe is. A cég szakemberei szerint az első ilyen akciót még január 6-án követhették el, azaz nagyjából két hónapig működhetett az adatporszívózás.

Hát, ez gyorsan eszkalálódott

Ugyan a szoftveróriás múlt kedden a támadás nyilvánosságra hozása mellett közzétette a sérülékenység javítását tartalmazó frissítéseket, ám ezzel messze nem ért véget az ügy. A helyzet súlyosságát jelzi, hogy az Egyesült Államok kibervédelméért felelős kormányzati ügynökség másnap egy külön figyelmeztetést is kiadott a témában, amely azonnali intézkedéseket sürgetett a potenciálisan érintett szervezeteknél.

Fontos megemlíteni, hogy azzal, hogy valahol telepítik a frissítéseket, még egyáltalán nem lehet hátradőlni, mivel a patch a már kompromittált rendszereket nem teszi tisztává. Utóbbit csak egy nagyon alapos takarítási hadművelettel lehet megoldani, aminek legbiztosabb módja a szerver teljes újraépítése. A Microsoft a védekezés megkönnyítésére kiadott egy tájékoztatást arról, miből lehet megállapítani a rendszer fertőzöttségét, illetve készült egy szkript is a rendszerek ellenőrzésére.

A sztori a múlt hét második felében is egyre csak dagadt. Pénteken egy biztonsági szakértő meg nem nevezett forrásokra hivatkozva már arról írt, hogy minimum 30 ezer amerikai szervezet rendszerét törhették fel, globálisan pedig legalább 100 ezerre tehető a kompromittálódott cégek, intézmények mennyisége.

Mindeközben az is kiderült, hogy az először a Hafnium által kihasznált sérülékenységekre az internetes alvilág más szereplői is felfigyeltek, és folyamatosan próbálják kihasználni azt azoknál a rendszereknél, amelyek gazdái nem siettek eléggé a javító állományok telepítésével. 

A legnagyobbnál is nagyobb?

A mostani ügy kapcsán nem lehet kihagyni a párhuzamba állítást a pár hónappal ezelőtt robbant másik kiberbiztonsági bombával. A SolarWinds-botrányként elhíresült, oroszokhoz kötött hekkerkampány valódi hatásának feltérképezése még most is javában zajlik, és újabb és újabb részletek, információk látnak napvilágot. A legfrissebb adatok szerint a biztonsági cég frissítésével érkező kártékony kódot nagyjából 18 ezer ügyfél töltötte le, de ezek közül "csak" 9 kormányügynökségnél és nagyjából 100 cégnél mutattak ki adatlopásra utaló forgalmat.

A SolarWinds esetét mostanáig előszeretettel emlegették az Egyesült Államokban elkövetett legdurvább kiberkémkedési akcióként, ám a fentiek fényében nem biztos, hogy ezt a kétes címet nem lehetne már most "átragasztani" az újabb incidensre.