BOSTON (AP) - Ofiary masowego, globalnego włamania do oprogramowania serwera poczty e-mail firmy Microsoft - szacowane na dziesiątki tysięcy przez respondentów zajmujących się cyberbezpieczeństwem - pośpieszały się w poniedziałek, aby zabezpieczyć zainfekowane systemy i próbować zmniejszyć szanse, że intruzi mogą ukraść dane lub spętać ich sieci.
Biały Dom nazwał włamanie „aktywnym zagrożeniem” i powiedział, że zajmowali się nim wyżsi urzędnicy ds. Bezpieczeństwa narodowego.
Naruszenie zostało wykryte na początku stycznia i przypisane chińskim szpiegom cybernetycznym atakującym amerykańskie ośrodki analityczne zajmujące się polityką. Następnie pod koniec lutego, pięć dni przed wydaniem przez Microsoft łatki 2 marca, nastąpiła eksplozja infiltracji ze strony innych intruzów, którzy zaczęli atakować początkowe włamanie. Ofiary kierują szeregiem organizacji, które obsługują serwery poczty e-mail, od małych sprzedawców detalicznych po kancelarie prawne, władze miejskie, podmioty świadczące opiekę zdrowotną i producentów.
Chociaż włamanie nie stanowi takiego rodzaju zagrożenia dla bezpieczeństwa narodowego, jak bardziej wyrafinowana kampania SolarWinds, którą administracja Bidena obwinia rosyjskich oficerów wywiadu, może stanowić zagrożenie egzystencjalne dla ofiar, które nie zainstalowały łatki na czas, a teraz mają. hakerzy zalegający w swoich systemach. Hack stanowi nowe wyzwanie dla Białego Domu, który nawet przygotowując się do odpowiedzi na naruszenie SolarWinds, musi teraz stawić czoła potężnemu i bardzo różnemu zagrożeniu ze strony Chin.
„Powiedziałbym, że jest to poważne zagrożenie dla bezpieczeństwa gospodarczego, ponieważ tak wiele małych firm może dosłownie zniszczyć swoją działalność poprzez ukierunkowany atak ransomware” - powiedział Dmitri Alperovitch, były dyrektor techniczny firmy CrowdStrike zajmującej się cyberbezpieczeństwem.
Obwinia Chiny za globalną falę infekcji, która rozpoczęła się 26 lutego, chociaż inni badacze twierdzą, że jest za wcześnie, aby z całą pewnością je przypisywać. To tajemnica, w jaki sposób ci hakerzy zwietrzyli pierwsze włamanie, ponieważ nikt o tym nie wiedział, z wyjątkiem kilku badaczy, powiedział Alperovitch.
Po wypuszczeniu łatki rozpoczęła się trzecia fala infekcji, która zwykle ma miejsce w takich przypadkach, ponieważ Microsoft dominuje na rynku oprogramowania i oferuje pojedynczy punkt ataku.
Analitycy zajmujący się cyberbezpieczeństwem, próbujący zebrać pełny obraz włamania, stwierdzili, że ich analizy pokrywają się z liczbą 30000 amerykańskich ofiar opublikowaną w piątek przez blogera poświęconego cyberbezpieczeństwu Briana Krebsa. Alperovitch powiedział, że oszacowano około 250 000 ofiar na całym świecie.
Microsoft odmówił podania liczby swoich klientów, którzy są zainfekowani.
David Kennedy, dyrektor generalny firmy TrustedSec zajmującej się bezpieczeństwem cybernetycznym, powiedział, że setki tysięcy organizacji mogło być narażonych na włamanie.
„Każdy, kto miał zainstalowany program Exchange, był potencjalnie podatny na ataki” - powiedział. „Nie każdy, ale duży procent z nich”.
Katie Nickels, dyrektor wywiadu w firmie zajmującej się bezpieczeństwem cybernetycznym Red Canary, ostrzegła, że instalowanie łat nie wystarczy, aby chronić osoby już zainfekowane. „Jeśli załatasz dziś łatkę, która ochroni cię w przyszłości, ale jeśli przeciwnicy są już w twoim systemie, musisz się tym zająć” - powiedziała.
Mniejsza liczba organizacji była celem początkowego włamania hakerów, którzy przechwycili dane, ukradli dane uwierzytelniające lub przeszukali sieci i pozostawili backdoory na uniwersytetach, wykonawcach obrony, kancelariach prawnych i ośrodkach badawczych chorób zakaźnych - stwierdzili naukowcy. Wśród osób, z którymi współpracował Kennedy, są producenci obawiający się kradzieży własności intelektualnej, szpitale, instytucje finansowe i dostawcy usług zarządzanych, którzy obsługują wiele sieci firmowych.
„W skali od 1 do 10 daje to 20” - powiedział Kennedy. „Zasadniczo był to szkieletowy klucz do otwarcia każdej firmy, która miała zainstalowany ten produkt firmy Microsoft”.
Poproszona o komentarz chińska ambasada w Waszyngtonie zwróciła uwagę na wypowiedź w zeszłym tygodniu rzecznika MSZ Wanga Wenbina, mówiącą, że Chiny „stanowczo sprzeciwiają się cyberatakom i kradzieżom cybernetycznym we wszystkich formach i zwalczają je” oraz ostrzegając, że przypisywanie cyberataków powinno opierać się na dowodach, a nie „Bezpodstawne oskarżenia”.
Hack nie wpłynął na oparte na chmurze systemy poczty e-mail i współpracy platformy Microsoft 365 preferowane przez firmy z listy Fortune 500 i inne organizacje, które mogą sobie pozwolić na wysokiej jakości zabezpieczenia. To podkreśla, na co lamentują niektórzy w branży jako o dwóch klasach komputerowych - „mają” zabezpieczenia i „nie mają”.
Ben Read, dyrektor ds. Analiz w Mandiant, powiedział, że firma zajmująca się bezpieczeństwem cybernetycznym nie widziała nikogo, kto wykorzystałby ten hack w celu uzyskania korzyści finansowych, „ale dla ludzi, którzy są dotknięci tym problemem, czas ma kluczowe znaczenie, jeśli chodzi o załatanie tego problemu”.
W przypadku wielu ofiar łatwiej to powiedzieć niż zrobić. Wiele z nich ma szkieletowych pracowników IT i nie stać ich na awaryjną reakcję w zakresie cyberbezpieczeństwa - nie wspominając o komplikacjach związanych z pandemią.
Naprawienie problemu nie jest tak proste, jak kliknięcie przycisku aktualizacji na ekranie komputera. Wymaga uaktualnienia całej organizacji, zwanej „Active Directory”, która zawiera katalogowanie użytkowników poczty e-mail i ich odpowiednich uprawnień.
„Wyłączanie serwera poczty e-mail nie jest czymś, co robisz lekko” - powiedział Alperovitch, który przewodniczy organizacji non-profit Silverado Policy Accelerator.
Tony Cole z Attivo Networks powiedział, że ogromna liczba potencjalnych ofiar tworzy idealną „zasłonę dymną” dla hakerów z państw narodowych, aby ukryć znacznie mniejszą listę zamierzonych celów, wiążąc i tak nadmiernie naciągniętych urzędników ds. Cyberbezpieczeństwa. „Nie ma wystarczającej liczby zespołów reagowania na incydenty, aby poradzić sobie z tym wszystkim”.
Wielu ekspertów było zaskoczonych i zakłopotanych tym, jak grupy rzuciły się do infekowania instalacji serwerów tuż przed wydaniem poprawki firmy Microsoft. Kennedy z TrustedSec powiedział, że wydanie łatki zajęło Microsoftowi zbyt dużo czasu, chociaż uważa, że nie powinien był o tym powiadamiać ludzi, zanim łatka była gotowa.
Steven Adair z firmy Volexity zajmującej się bezpieczeństwem cybernetycznym, która zaalarmowała Microsoft o początkowym włamaniu, opisał „masową, bezkrytyczną eksploatację”, która rozpoczęła się w weekend przed wydaniem łatki i obejmowała grupy z „wielu różnych krajów, w tym aktorów przestępczych”.
Agencja ds. Infrastruktury i Bezpieczeństwa Cyberbezpieczeństwa wydała pilne ostrzeżenie w związku z włamaniem w zeszłą środę, a doradca ds. Bezpieczeństwa narodowego Jake Sullivan opublikował o tym na Twitterze w czwartek wieczorem.
Ale Biały Dom nie ogłosił jeszcze żadnej konkretnej inicjatywy w odpowiedzi.
Tucker donosił z Waszyngtonu, a O'Brien z Providence w stanie Rhode Island. Pisarz AP Alan Suderman z Richmond w Wirginii.
przetlumaczono przez translatora googl-GR
zrodlo:apnews.com
Brak komentarzy:
Prześlij komentarz