ESET odhalil viac ako desať skupín útočiacich na e-mailové servery, zasiahnuté boli tisícky
Najdôležitejšou správou uplynulého mesiaca bola jednoznačne informácia o reťazci zraniteľností v produktoch Microsoft Exchange Server. Tie umožňujú útočníkom zmocniť sa akéhokoľvek dostupného Exchange servera (a teda obsahu e-mailovej komunikácie) aj bez platných prístupových údajov. Logicky najviac ohrozené boli a sú servery priamo pripojené k internetu. Problém sa pritom týka úplne celého sveta a len v telemetrii ESETu sme videli útoky vo vyše 115 krajinách.
Naši výskumníci pritom identifikovali viac ako 5500 zasiahnutých serverov, ktoré patria aj významným firmám a vládnym organizáciám z celého sveta. No predovšetkým problém sa netýkal iba predtým medializovanej skupiny Hafnium. Podľa výskumu ESETu to bolo viac ako desať skupín digitálnych útočníkov, ktoré okamžite naskočili na rozbehnutý vlak a začali zo zraniteľností ťažiť útokmi.
Takmer všetky útoky mali pritom na svedomí skupiny, ktoré sa zameriavajú na kybernetickú špionáž (jediná výnimka bol prípad ťaženia kryptomeny).
Na čele výskumu zraniteľností v MS Exchange je Matthieu Faou z nášho strediska v kanadskom Montreale a ďalšia zaujímavosť, ktorú vypátral, bol fakt, že niektoré skupiny zraniteľnosti zneužívali ešte predtým, než Microsoft vydal záplaty a o celom incidente sa dozvedela svetová verejnosť. V ESETe tak môžeme vylúčiť, že by niektoré hackerské skupiny pripravili útok na základe reverzného inžinierstva aktualizácií Microsoftu.
Útokov bolo neúrekom, rôzne skupiny sa sústredili často na svoje tradičné ciele. LuckyMouse skompromitoval e-mailový server vládnej organizácie na Blízkom východe. Skupina Calypso najprv zacielila na e-mailové servery vládnych inštitúcií na Blízkom východe a v Južnej Amerike. Neskôr terče rozšírila o vládne a firemné servery aj v Afrike, Európe a celej Ázii. Na súkromné firmy v Ázii cieli Websiic, neskôr sa zameral na pokusy vo východnej Európe (podobne ako Tonto Team). Skupina Winnti zostala verná útokom v Ázii. V USA, Nemecku a Británii útočil Opera Cobalt Strike. A mohol by som pokračovať ďalej.
Svetská sláva, poľná tráva, hovorí staré známe príslovie. A preto nebol zadosťučinením fakt, že o zisteniach nášho výskumu písali najprestížnejšie svetové médiá, ale to, že prostredníctvom ich spravodajstva sa do každej firmy, inštitúcie či organizácie dostala informácia, že je nevyhnutné aktualizovať si serverový softvér o bezpečnostné záplaty.
Ak pracujete s Exchange serverom a v poslednom čase ste ho neaktualizovali, mali by ste, a to čo najrýchlejšie, ak vám záleží na bezpečnosti vašich dát. Zaplátané by mali byť aj servery, ktoré nie sú priamo online, teda pripojené k internetu. V prípade skompromitovania by mali administrátori odstrániť malvér, zmeniť prístupové údaje a prešetriť každú ďalšiu podozrivú aktivitu. A do budúcnosti je najlepšia bezpečnostná politika, ak komplexné riešenia ako MS Exchange Server nie sú priamo pripojené k často nebezpečnému prostrediu internetu.
No ohľadom tejto najnovšej veľkej hrozby nie sú iba zlé správy. Kým na začiatku boli tisíce zasiahnutých serverov, ktoré sme v ESETe dokázali potvrdiť, už o týždeň toto číslo kleslo na stovky. Znamená to, že veľa organizácií (či už z verejného, alebo firemného sektora) vypočulo volanie a svoje servery zaplátalo. Informovali sme o tom na našom twitterovom kanáli. Keď chcete mať najnovšie informácie čo najrýchlejšie, určite sledujte „ESETresearch“ na tejto sociálnej sieti. Tam sa môžeme stretávať aj mimo tohto stĺpčeka. A do ďalšieho vydania vám želám najmä bezpečné surfovanie.
Branislav Ondrášik, ESET
