מיקרוסופט: האקרים סינים ניצלו באגים כדי לתקוף ארגונים
לפי החברה, קבוצת הפריצה הצליחה להונות את שרתי Exchange כדי לקבל אליהם גישה ● בינתיים המתקפה מתמקדת בארצות הברית, אולם ההערכות הן שמאות אלפי גופים בעולם עלולים להיפגע ● בישראל יש 19,933 שרתים כאלה, ומערך הסייבר הלאומי ממליץ לארגונים "להתקין את העדכונים בהקדם האפשרי"
האקרים סיניים, שלוחי הממשל בבייג'ינג, ניצלו באג ב-Exchange – שרת המייל של מיקרוסופט – כדי לתקוף באופן ממוקד ארגונים בארצות הברית, כך מסרה החברה אמש (ג'). אלא שמומחים מזהירים שהתקיפה עלולה להשפיע גם על מאות אלפי ארגונים בעולם, כולל בישראל.
חוקרי הענקית מרדמונד ציינו שהקבוצה, שפועלת בחסות המדינה, היא "מיומנת ומתוחכמת מאוד", ושהיא ניסתה לגנוב מידע מכמה יעדים אמריקניים, ביניהם אוניברסיטאות, קבלני ביטחון, משרדי עורכי דין וחוקרי מחלות זיהומיות. מומחי אבטחה ציינו כי גופים נוספים כוללים ארגוני סיוע ופיתוח בינלאומיים, פורומים וגופי חשיבה לא ממשלתיים, ומכוני מחקר בנושאים שונים.
מיקרוסופט פרסמה עדכוני אבטחה לתיקון הפגיעות ב-Exchange, המשמשת לשירותי למייל לעבודה ולוח שנה, בעיקר עבור ארגונים גדולים – שיש להם שרתי דוא"ל פרטיים משלהם. היא ציינה כי הפגיעות לא משפיעה על חשבונות מייל אישיים או על השירותים מבוססי הענן של מיקרוסופט.
קבוצה סינית שפועלת באמצעות שרתים מושכרים בארצות הברית
בהודעתה מסרה מיקרוסופט כי קבוצת הפריצה, שאותה היא מכנה Hafnium, הצליחה להערים על שרתי ה-Exchange כדי לקבל גישה אליהם. לאחר מכן התחזו ההאקרים כמי שאמורה להיות להם גישה, ואז הם יצרו דרך לשלוט בשרת מרחוק, לטובת יכולת לגנוב נתונים מרשת הארגון.
מהענקית מרדמונד נמסר כי קבוצת ההאקרים ממוקמת בסין, אולם היא פועלת באמצעות שרתים פרטיים וירטואליים מושכרים בארצות הברית – מה שעוזר לה להימנע מזיהוי.
מיקרוסופט סירבה לציין יעדים ספציפיים או לומר כמה ארגונים הושפעו מהפגיעות. מומחי אבטחה העריכו כי לאור הפריסה הנפוצה של השרתים, היקף הגופים העלולים להיפגע מכך עומד על מאות אלפים רבים, עם עשרות מיליוני משתמשים. יצוין שבישראל יש 19,933 שרתים כאלה.
המומחים ציינו גם שעולה חשש מהותי שלפיו "ההאקרים יאיצו את פעילותם בימים הקרובים, לפני שארגונים יוכלו להתקין את שדרוגי האבטחה של מיקרוסופט". אחד מהם אמר כי "כבר עכשיו זה גרוע, ואני חושב שזה עומד להחמיר הרבה יותר. המצב הנוכחי מספק להם הזדמנות, אמנם מוגבלת, לנצל אותו לטובתם. ודאי שהבעיה לא תיפתר אם ההאקרים ישאירו את הדלת האחורית והארגונים לא יסירו אותה".
מקונפידס הישראלית נמסר כי "הקבוצה הסינית תקפה מוסדות אקדמיים, משרדי עורכי דין, תעשיות ביטחוניות, מכוני מחקר ומוסדות השכלה גבוהה. המתקפה ניצלה חולשה, כזו אשר אינה מוכרת ליצרן. היא מאפשרת גישה והשתלטות מרחוק על שרתי Exchange המותקנים אצל לקוחות. מיקרוסופט מעדכנת כי ארגוני פשיעה ומדינות יזדרזו לנצל את החולשה הזו ולכן ממליצה לעדכן בדחיפות את השרתים הללו".
מערך הסייבר הלאומי התריע אף הוא מפני הפגיעויות שנתגלו וציין כי "ניצולן לתקיפה עלול לגרום להרצת קוד מרחוק על השרת, דלף מידע, התקנת Webshell וכן תנועה רוחבית לרשת הארגונית". המערך ממליץ לארגונים בהודעה שפרסם "לבחון ולהתקין את העדכונים ששחררה מיקרוסופט בהקדם האפשרי על כל שרתי ה-Exchange, ובפרט על שרתים הנגישים מרשת האינטרנט. כמו כן, ממליץ המערך להגביל את הגישה לשרתי OWA, לדוגמה באמצעות שירות מסוג VPN עם הזדהות חזקה והצפנה מתאימה".
נשמע מאוד דומה למה שקרה בשירביט. גם שם הרי צילומי המסך הראו שרתי EXCHANGE ונראה שהחומר שהודלף הגיע מקבצי דואל