No início de março, a Microsoft revelou que um grupo de hackers chineses conseguiu explorar uma série de vulnerabilidades zero-day no software do Exchange Server, um dos seus serviços de correio eletrónico usado frequentemente por empresas. Agora, novas investigações dão a conhecer que as consequências do incidente podem ser muito maiores do que o esperado e que podem superar as do ataque à SolarWinds.

Estima-se que pelo menos 30.000 organizações norte-americanas tenham sido afetadas pelo ataque, na sua maioria pequenos negócios, administrações de cidades e governos locais. No que toca a vítimas fora dos Estados Unidos, o número sobre para 250.000 organizações. Entre as entidades comprometidas na Europa está, por exemplo, a Autoridade Bancária Europeia.

Em declarações ao jornalista Brian Krebs, dois investigadores que tinham entrado em contacto com assessores de segurança nacional dos Estados Unidos indicaram que o grupo responsável pelo ataque, o qual a Microsoft denominou Hafnium, já tomou o controlo de centenas de milhares de servidores do Exchange por todo o mundo, com cada vítima a representar uma organização que recorre ao serviço de email.

A Cybersecurity and Infrastructure Security Agency (CISA) já publicou uma diretiva de emergência a apelar a todas as agências do governo dos Estados Unidos que o usam o serviço da Microsoft que instalem as atualizações necessárias ou que removam totalmente o software dos seus sistemas informáticos.

O governo de Joe Biden já anunciou que está a tomar medidas para mitigar as consequências do incidente, avança a CNN. Numa recente conferência de imprensa, Jen Psaki, secretária de imprensa da Casa Branca, sublinhou as preocupações da administração com o ataque e com o seu impacto, motivo pelo qual está a ser preparada uma task-force que incluirá membros do FBI, CISA e de outras agências.

Em declarações ao website Business Insider, investigadores da Kaspersky e da Red Canary indicaram que detetaram um aumento no número de ciberataques que tentam explorar vulnerabilidades no Exchange, mesmo depois da Microsoft ter lançado as atualizações de segurança. A segunda das empresas detalha também que alguns dos mais recentes ataques aparentam ser levados a cabo por outros grupos além do Hafnium.

Para ajudar as organizações a verificarem se foram afetadas pelo ataque, a Microsoft atualizou o Safety Scanner do Microsoft Defender para conseguir detetar o novo tipo de atividade maliciosa. Já Kevin Beaumon, analista de cibebersegurança da empresa, publicou uma ferramenta no GitHub que permite verificar se um determinado endereço está vulnerável e cuja utilização está a ser recomendada pela CISA.

Hackers chineses atacam serviço de email da Microsoft para roubarem dados de organizações nos EUA
Hackers chineses atacam serviço de email da Microsoft para roubarem dados de organizações nos EUA
Ver artigo

Recorde-se que a Microsoft já tinha dado a conhecer que o grupo Hafnium tinha na “mira” vários setores, incluindo a área da investigação de doenças infeciosas, instituições do ensino superior e organizações não-governamentais: tudo com o objetivo de roubar informação.

Os hackers conduzem as suas operações através de servidores virtuais privados nos Estados Unidos e para levar a cabo as suas operações de ciberespionagem começaram por explorar quatro vulnerabilidades diferentes (CVE-2021-26855, CVE-2021-26857, CVE-2021-26858, e CVE-2021-27065).

Depois de criarem uma Web Shell para controlarem o servidor comprometido de forma remota, os hackers conseguiam aceder aos dados privados da rede de uma organização. A gigante tecnológica indicou que, de acordo com as suas análises, a exploração de vulnerabilidades não estava relacionada com as consequências do ataque à SolarWinds.