Kínát vádolja a világszerte már majdnem százezer áldozatot érintő kibertámadással a Microsoft
Az eredetileg a Microsoft üzleti levelezőprogramja ellen intézett kimért támadásból lassan világméretű kiberbiztonsági válság lesz, a hackerek ugyanis minél több áldozatot meg akarnak fertőzni, mielőtt a cégek biztosítják saját rendszereiket.
A támadás, melyet a Redmond szerint egy, a kínai kormány által támogatott csoport hajtott végre, eddig 60000 áldozatot érintett világszerte, legalábbis a Seattle Timesnak még hétfőn ezt mondta egy, a nyomozásra rálátó forrás. Ezek közül sokan olyan vállalkozások, akikre a hackerek még a Microsoft biztonsági frissítése előtt vetették ki hálójukat.
Az áldozatok egyike az Európai Bankhatóság, ők vasárnap jelentették be, hogy a Microsoft szerveren tárolt emailekben lévő személyes adatokhoz hozzáférése volt a bűnözőknek. Emellett további bankok és áramszolgáltatók és egy jégkrémgyártó is van az érintettek között a marylandi biztonsági cég, a Huntress múlt pénteki blogposztja szerint.
Egy névtelenséget kérő amerikai kiberbiztonsági vállalat képviselője az ST-nek elmondta, csak az ő szakértőik 50 áldozattal dolgoznak, egyrészt rá akarnak jönni, milyen adatokhoz férhettek hozzá a hackerek, másrészt, ki akarják őket tessékelni a hálózatból. A gyorsan elfajuló támadás nem sokkal követi a gyaníthatóan oroszok által indított SolarWinds támadást és azért váltotta ki a nemzetbiztonsági vezetők aggodalmát, mert nagyon gyorsan nagyon sok gépet tudtak a hackerek megfertőzni.
A támadás végső fázisaiban az elkövetők kutatók elmondása szerint már automatizálták az adatlopási folyamatot, így pár nap alatt új áldozatok tízezreit szerezhették. A New York Times névtelen forrásokra hivatkozva írta meg, hogy három héten belül jöhetnek a válaszlépések, első körben orosz hálózatok elleni titkos manőverek és gazdasági szankciók keverékével üzennének Vlagyimir Putyinnak.
Joe Biden rendeletben utasította az állami ügynökségeket arra, hogy szerelkezzenek fel az orosz támadások ellen, szombaton egy fehér házi tisztviselő pedig emailben azt írta a lapnak: „A kormány teljes körű munkával fogja felmérni és felszámolni a támadás hatásait. A veszély azonban még nem múlt el, ezért arra kérjük a hálózatok működtetőit, hogy vegyék komolyan.”
Steven Adair, az észak-virginiai Volexity nevű kiberbiztonsági cég vezetője, akik segítettek a hackerek által kihasznált és azóta már kijavított biztonsági rés feltárásában, elárulta, hogy a Microsoft által Hafniumként emlegetett kínai csoport először csak kisebb számban tört be áldozataik gépére az Exchange nevű email-szolgáltatáson keresztül.
Mikor azzal szembesítették, hogy a Microsoft Kínának tulajdonítja be a támadást, az ázsiai ország külügyi szóvivője úgy reagált, hogy Kína „mindenféle kibertámadást és adatlopást elutasít, illetve aktívan küzd ellenük” és úgy gondolják, hogy országuk kijelölése támadóként „egy roppant kényes politikai ügy.”
Ez az eset és a SolarWinds-támadás mutatja, hogy a modern hálózatok igen sérülékenyek és az államilag támogatott hackercsoportok ki tudják tapogatni a nehezen megtalálható gyenge pontokat is, sőt, meg is tudják alkotni azokat.
Emellett jellemző rájuk, hogy összetettek és kezdetben fertőznek meg több számítógépet, majd a jelentős célpontok kiválasztásával kevesebb célpontra összpontosítanak, az ezáltal okozott problémák felgöngyölítése pedig heteket vagy akár hónapokat is igénybe vehet.
Charles Carmakal, egy másik biztonságtechnikai cég, a FireEye alelnöke figyelmeztetett: a legutóbbi támadás után a Microsoft patchének telepítésével is van még bejárása a hálózatba a támadóknak, így az érintett rendszereket teljesen át kell vizsgálni.
A Nemzetbiztonsági Tanács is egyetért ezzel, több tweetben kérték az érintetteket, hogy alaposan vizsgálják át számítógépeiket a behatolás jeleit keresve. Adair elmondta, kezdetben az Egyesült Államok hírszerzését támadták a hackerek, egy héttel ezelőtt azonban további csoportok áldozatok ezreinek a gépére telepítettek számukra bejárást biztosító rejtett programokat.
Adair szerint ez azért lehet, mert azóta ezek a csoportok is ráleltek a biztonsági résre, így elkezdték a maguk támadását, vagy mert Kína úgy döntött, hogy minél hamarabb minél több áldozatot akarnak megfertőzni, és utólag kiértékelni, hírszerzési szempontból melyik mennyit ér. Akármelyik lehetőség áll fenn, a támadások olyan gyorsak és sikeresek voltak, hogy a hackerek találtak arra is módot, hogy automatikussá tegyék a folyamatot: „Amennyiben Exchange szervere van, nagy valószínűséggel már meg is kapta a programot.” – mondta.
Más biztonsági cégek azonban arra utaltak, hogy a végén kiderülhet, nem is olyan vészesek a támadások. A Huntress kutatói partnerei kb. 3000 sérülékeny szerverében csupán 350 körüli fertőzöttet találtak, ami kicsivel több, mint 10%-os arány. A SolarWinds-hackerek mindenféle szervezetet megtámadtak, azonban a legújabb hullámnak elsősorban kis- és középvállalkozások, illetve helyileg illetékes kormányzó szervek estek áldozatul. A legnagyobb veszélyben azok vannak, akiknek emailszervere az Exchange-et közvetlenül az internetre kötve futtatja.
Jim McMurry, egy dél-kaliforniai biztonsági szolgáltató, a Milton Security Group alapítója szerint „a kisebb szervezeteket már most érinti a koronavírus, ez csak súlyosbítja az amúgy is rossz helyzetet. Pár ügyfelünkkel már átfutottuk a dolgokat, igen sok időbe telik átfésülni, letisztítani és aztán biztosítani a hálózatokat.”
McMurry hozzátette:”nagyon rossz” a helyzet, de a károkat némileg enyhíti, hogy egy javítható résről van szó. A Microsoft már jelezte, hogy a felhőalapú email-rendszerek nem voltak érintettek az automatikus támadásban, amelynek felbukkanása egy új, ijesztőbb korát hozhatja el a kibertámadásoknak, amely sok szakértő szerint túlterhelheti a biztonsági rendszerek limitált kapacitását.
Alex Stamos biztonsági tanácsadó elmondta, hogy a kezdeti fertőzések automata scannelés és installálás eredményei voltak, de a nyomozók most már olyan fertőzéseket keresnek, ahol a behatolások adatlopássá is fajulhatnak, ahol az eltulajdonított e-mailarchívumokból értékes információt bányászhatnának ki:
„Ha én vezetném az egyik ilyen csapatot, olyan gyorsan és válogatás nélkül húznám le az e-maileket, amilyen gyorsan csak lehet, aztán utólag bányásznám ki belőlük az aranyat.”