Компания Microsoft сообщила, что новая группа китайских хакеров пытается похищать информацию американских компаний, используя четыре прежде не известных слабых места в защите сервера Microsoft Exchange.
По словам представителей компании, группировка, которую в Microsoft называют Hafnium, атакует компании и структуры в сфере юридических услуг, высшего образования, исследования инфекционных болезней, оборонных подрядчиков, а также аналитические центры и НКО.
Базируется группировка в Китае, хакеры действуют через виртуальные выделенные сервера (VPS) в США.
Атаки производятся внезапно и растягиваются на три этапа. Сначала хакеры получали доступ к серверу Exchange, используя украденные пароли или уязвимые места, затем создавали вредоносный скрипт для удаленного управления взломанным сервером, после чего использовали этот доступ с частных выделенных серверов в США и похищали данные.
В Microsoft не раскрывают, какие именно компании и структуры пострадали от действий хакеров Hafnium, но уже выпустила обновление для защиты пользователей Exchange Server.
Это далеко не первая хакерская атака на американские компании.
Президент Microsoft Брэд Смит сообщил, что у компании есть доказательства причастности российской разведки к массовой кибератаке на правительственные агентства США в декабре 2020 года.
Глава компании по кибербезопасности FireEye Кевин Мандиа на слушаниях подчеркнул, что при атаке хакеры использовали инструменты, похожие на те, что использует Россия. При этом Джордж Курц, глава компании Crowdstrike, работающей в сфере информационной безопасности, заявил об отсутствии данных о причастности Москвы к атаке.
Также Москву обвинил в масштабной кибератаке на американское правительство Госсекретарь США Майк Помпео.
Атака была нацелена на программное обеспечение американской компании SolarWinds, о ее обнаружении стало известно на прошлой неделе. Сама атака продолжалась несколько месяцев и затронула десятки правительственных ведомств, включая ядерные лаборатории и Пентагон, Министерство финансов и Министерство торговли.