Cyberataki wykorzystujące luki w Microsoft Exchange
źródło: opracowanie własne
W styczniu 2021 r. rozpoczęła się globalna fala cyberataków. Użyto w nich czterech exploitów typu zero-day, a więc programów mających na celu wykorzystanie istniejących błędów w serwerach Microsoft Exchange przed opublikowaniem poprawek przez dostawcę usługi. Dzięki nim atakujący uzyskali pełny dostęp do e-maili i haseł użytkowników, uprawnień administratorów na serwerach oraz do urządzeń podłączonych w tej samej sieci. Do połowy marca 2021 hakerzy zaatakowali ponad 250 000 serwerów, w tym 30 000 należących do organizacji w Stanach Zjednoczonych, jak również te należące do Europejskiego Urzędu Nadzoru Bankowego, norweskiego Parlamentu i chilijskiej Komisji Rynku Finansowego (CMF). Wśród innych ofiar cyberprzestępców były przede wszystkim małe i średnie przedsiębiorstwa, instytucje lokalne i samorządy. Najczęściej atakowano firmy i organizacje zlecające usługi IT zewnętrznym dostawcom, a tym samym mające znikome zabezpieczenia.
Jak twierdzi sam Microsoft, Microsoft Exchange to „unikalne środowisko, które umożliwia atakującym wykonywanie różnych zadań przy użyciu tego samego wbudowanego narzędzia lub skrypty, których administratorzy używają do konserwacji”. Dlatego może być przez hakerów uważany za cel o dużej wartości. Okazja by wykorzystać słabość tego kolosa w zakresie oprogramowania nadarzyła się na początku 2021 roku i została skrzętnie wykorzystana do przeprowadzania cyberataków na całym świecie.
Jak przebiegała fala ataków?
5 stycznia 2021 r. firma DEVCORE, zajmująca się testowaniem zabezpieczeń, przedstawiła raport dotyczący luk w Microsoft. Raport firmy DEVCORE został przez Microsoft zweryfikował 8 stycznia. Jednak jak zauważyła inna firma zajmującą się cyberbezpieczeństwem – Volexity, do pierwszego naruszenia instalacji Microsoft Exchange Server doszło już dwa dni wcześniej, 6 stycznia 2021 roku.
Rozpoczęła się fala ataków. W dniach 27 i 28 lutego 2021 r. miał miejsce pierwszy zautomatyzowany atak, a 2 i 3 marca 2021 r. atakujący używali już skryptów umożliwiających im późniejszy powrót na zaatakowane serwery, tzw. backdoorów (oprogramowanie dające atakującemu pełny dostęp do zagrożonych serwerów, nawet jeśli zostaną one później zaktualizowane). Odnośnie pierwszego tygodnia marca, współzałożyciel CrowdStrike Dmitri Alperovitch stwierdził, że: „Każda możliwa ofiara, która nie usprawniła zabezpieczeń do połowy ubiegłego tygodnia, została już uderzona przez co najmniej jednego lub kilku atakujących”.
2 marca 2021 r. firma Microsoft wydała aktualizacje dla Microsoft Exchange Server 2010, 2013, 2016 i 2019, a Microsoft Security Response Center (MSRC) opublikowało pozapasmowe wydanie Common Vulnerabilities and Exposures (CVE), nawołując do łatania serwerów Exchange w celu usunięcia szeregu krytycznych luk w zabezpieczeniach. Nie spowodowało to jednak wstecznego cofnięcia uszkodzeń ani usunięcia backdoorów zainstalowanych przez atakujących. Tego samego dnia firma ESET zajmująca się cyberbezpieczeństwem, oświadczyła, że oprócz stojącej za częścią ataków grupy Hafnium (chińska grupa hakerów działająca na całym świecie), zaobserwowała wielu atakujących wykorzystujących luki w zabezpieczeniach Microsoft, w tym kilka potężnych organizacji związanych ze szpiegostwem.
Jak twierdzi Intel, 5 marca 2021 r. zaatakowany został jeden z serwerów Microsoft Exchange znanej na całym świecie firmy Acer. Dane na serwerze zostały zaszyfrowane, a firma utraciła do nich dostęp. Stojący za atakiem REvil zażądał okupu w wysokości 50 milionów dolarów, twierdząc, że jeśli otrzyma tę kwotę nie tylko usunie skradzione gigantowi dane, ale też odszyfruje informacje na serwerze i dostarczy raport o lukach. Kwota okupu ma zostać podwojona, jeśli nie zostanie on zapłacony do 28 marca 2021 roku.
Dwa dni później, 7 marca 2021 r., stacja CNN poinformowała, że administracja prezydenta Joe Bidena utworzy grupę zadaniową, która zajmie się tematem cyberataków wykorzystujących luki w Microsoft Exchange. Do udziału w tej grupie zaproszono też organizacje z sektora prywatnego.
Badacz bezpieczeństwa, Nguyen Jang, opublikował 10 marca 2021 r. na należącym do firmy Microsoft GitHubie 169 linijek kodu, w którym opisano, jak działa exploit. Został on celowo napisany z błędami, aby badacze bezpieczeństwa mogli zrozumieć, jak działa, ale potencjalni hakerzy nie mogli go użyć w celu uzyskania dostępu do serwerów.
W dniu 12 marca 2021 r. Microsoft ogłosiło wykrycie „nowej rodziny oprogramowania ransomware” o nazwie DearCry. Szyfrowało ono wszystkie pliki na zainfekowanych przez siebie serwerach, przez co uniemożliwiało im działanie. Wykorzystujący DearCry atakujący najczęściej żądali zapłaty określonej kwoty za przywrócenie stanu pierwotnego.
Microsoft odpowiedziało 15 marca udostępniając narzędzie PowerShell, The Exchange On-Premises Mitigation Tool, które instaluje określone aktualizacje, uruchamia skanowanie w poszukiwaniu złośliwego oprogramowania i usuwa wykryte zagrożenia, a także odnajduje zainstalowane powłoki internetowe typu backdoor. Jest ono zalecane jako tymczasowa ochrona przed atakami, ponieważ nie instaluje innych dostępnych aktualizacji.
Jak działali hakerzy?
Atakujący wykorzystali cztery oddzielne luki typu zero-day, aby uzyskać dostęp do programu Outlook Web Access (OWA) serwerów Microsoft Exchange, który pozwalał im przeglądać wiadomości e-mail, zaproszenia z kalendarza, a czasem zawartość całych serwerów firm, które padły ich ofiarą.
Jedyną informacja jakiej potrzebowali cyberprzestępcy był adres serwera. Mogli uzyskać go bezpośrednio lub poprzez masowe skanowanie w poszukiwaniu potencjalnych ofiar. Następnie atakujący wykorzystywali cztery exploity:
- pierwszy umożliwiał im połączenie się z serwerem i fałszywe uwierzytelnienie jako zwykły użytkownik,
- drugi eskalował dostęp tego użytkownika do uprawnień administratora,
- trzeci pozwalał atakującemu, który automatycznie posiadał uprawnienia administratora, na przesłanie kodu na serwer w dowolnej lokalizacji,
- a czwarty na zainstalowanie powłoki internetowej, zapewniając backdoor do zaatakowanego serwera (o ile powłoka sieciowa jak i serwer Exchange były włączone).
Kogo atakowano?
Cyberprzestępcy wykorzystali luki w zabezpieczeniach, aby szpiegować szeroką gamę celów (w sumie ponad 250 000 serwerów). Tom Burt, wiceprezes Microsoftu ds. Bezpieczeństwa i zaufania klientów, napisał, że cele obejmowały głównie badaczy chorób, kancelarie prawne, uniwersytety, wykonawców sektora obronnego, organizacje pozarządowe i think tanki (organizacje non-profit, zajmujące się badaniami i analizami dotyczącymi spraw publicznych).
Firma Check Point Research wykazała, że najczęściej atakowanym krajem były Stany Zjednoczone - tego państwa dotyczyło 17% wszystkich ataków, następnie Niemcy - 6%, Wielka Brytania i Holandia - po 5% i Rosja - 4%. Jeśli chodzi o branże – prym wiódł sektor rządowy i wojskowy – był z nim związany prawie co 4 atak (23% wszystkich ataków), następnie produkcja - 15%, usługi bankowe i finansowe - 14%, dostawcy oprogramowania - 7% i opieka zdrowotna - 6%.
Cyberataki przeprowadzone na początku 2021 roku to kolejny dowód na to, że ofiarą przestępstw w internecie może paść każdy, nawet mały przedsiębiorca. Aby się przed nimi chronić należy stale aktualizować stosowane oprogramowania, pilnować, aby hasła dostępu były często zmieniane i były jak najtrudniejsze (polecamy też stosowanie podwójnej weryfikacji) oraz inwestować w dobre programy antywirusowe. Przypominamy jednak, że tego typu ataki nie są jedyną formą przestępstw popełnianych w sieci - wśród tych najpopularniejszych znajdują się phishing (z którym mamy do czynienia, gdy przestępca podszywa się pod inną osobę lub instytucję w celu wyłudzenia danych lub zmuszenia ofiary do wykonania określonego zadania) czy też tak często omawiane przez nas Ad Fraudy.