Компанія Microsoft повідомила, що нова група китайських хакерів намагається викрадати інформацію американських компаній, використовуючи чотири раніше не відомих слабких місця в захисті сервера Microsoft Exchange.
За словами представників компанії, угруповання, яку в Microsoft називають Hafnium, атакує компанії і структури в сфері юридичних послуг, вищої освіти, дослідження інфекційних хвороб, оборонних підрядників, а також аналітичні центри та НКО.
Базується угруповання в Китаї, хакери діють через віртуальні виділені сервери (VPS) в США.
Атаки проводяться раптово і розтягуються на три етапи. Спочатку хакери отримували доступ до сервера Exchange, використовуючи вкрадені паролі або вразливі місця, потім створювали шкідливий скрипт для віддаленого управління зламаним сервером, після чого використовували цей доступ з приватних виділених серверів в США і викрадали дані.
У Microsoft не розкривають, які саме компанії і структури постраждали від дій хакерів Hafnium, але вже випустила оновлення для захисту користувачів Exchange Server.
Це далеко не перша хакерська атака на американські компанії.
Президент Microsoft Бред Сміт повідомив, що у компанії є докази причетності російської розвідки до масової кібератаки на урядові агентства США в грудні 2020 року.
Глава компанії з кібербезпеки FireEye Кевін Манді на слуханнях наголосив, що при атаці хакери використовували інструменти, схожі на ті, що використовує Росія. При цьому Джордж Курц, глава компанії Crowdstrike, що працює в сфері інформаційної безпеки, заявив про відсутність даних про причетність Москви до атаки.
Також Москву звинуватив у масштабній кібератаці на американський уряд Держсекретар США Майк Помпео.
Атака була націлена на програмне забезпечення американської компанії SolarWinds, про її виявленні стало відомо минулого тижня. Сама атака тривала кілька місяців і торкнулася десятки урядових відомств, включаючи ядерні лабораторії і Пентагон, Міністерство фінансів і Міністерство торгівлі.