Microsoft Exchange: Rede de hackers ligada à China é conectada a ciberataque
Invasão ocorreu por uma rede de hackers ligada à China e envolveu agências de segurança dos Estados Unidos
Uma semana após o grande ciberataque ao serviço de e-mail Microsoft Exchange ter sido relatado, muitos especialistas em segurança continuam alarmados com a invasão do grupo de hackers vinculado ao governo chinês.
Acredita-se que a violação atingiu centenas de milhares de usuários do Exchange em todo o mundo. A Microsoft disse que quatro vulnerabilidades em seu software permitem que hackers acessem servidores para o popular serviço de e-mail e calendário, e a empresa pediu aos clientes que atualizassem imediatamente seus sistemas locais com correções de software.
Até a Casa Branca se envolveu prontamente e agora várias agências do governo dos Estados Unidos também estão investigando o ataque.
Desde que a invasão foi relatada na semana passada, “um grande número” de agentes de ameaças adicionais” estão correndo para explorar essas vulnerabilidades” em servidores Exchange que ainda não foram atualizados, disse a empresa de software de segurança cibernética Symantec na segunda-feira (8), adicionando ao ocorrido outra camada de urgência e potencialmente levando a mais vítimas.
Christopher Krebs, ex-diretor da Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA, na sigla em inglês), tuitou na semana passada que “este é o negócio real”, incentivando os usuários do servidor Exchange a responderem rapidamente ao problema.
Aqui está o que se sabe sobre o ciberataque até agora:
Quem está por trás disso?
A Microsoft atribuiu o ataque a um grupo de hackers que se chama Hafnium, o qual a empresa “avaliou como patrocinado pelo Estado e operando fora da China”. O ator foi identificado pelo Microsoft Threat Intelligence Center com base em “táticas e procedimentos” observados.
Embora se acredite que o Hafnium esteja baseado na China, ele geralmente ataca usando servidores virtuais privados baseados nos Estados Unidos, disse a Microsoft. A empresa se referiu ao grupo como “um ator altamente qualificado e sofisticado”.
Um porta-voz do Ministério das Relações Exteriores da China afirmou que o país “se opõe firmemente e combate todas as formas de ataques cibernéticos e roubos de acordo com a lei”.
É importante notar que o hacker do Microsoft Exchange não está relacionado ao ataque SolarWinds que o governo e as empresas dos EUA vêm sofrendo nos últimos meses, e que se suspeita estar ligado à Rússia.
Quem foi o alvo?
No sábado (6), havia cerca de 30 mil clientes afetados nos Estados Unidos e 250 mil em todo o mundo, embora esses números possam aumentar, disse um funcionário dos EUA à CNN.
O hacker é principalmente uma preocupação para clientes empresariais e governamentais que usam o produto Exchange Server da Microsoft. A empresa enfatizou não ter “nenhuma evidência de que as atividades do Hafnium tenham como alvo consumidores individuais ou que essas explorações afetem outros produtos da Microsoft”.
A empresa afirmou que os produtos Exchange Online e Microsoft 365 baseados em nuvem não foram afetados.
Os tipos de vítimas até agora identificados pela Microsoft e agências governamentais dos EUA incluem governos estaduais e locais, grupos de reflexão sobre políticas, instituições acadêmicas, pesquisadores de doenças infecciosas e empresas como escritórios de advocacia e empreiteiros de defesa. Na semana passada, a firma de segurança cibernética FireEye destacou que identificou várias vítimas específicas “incluindo varejistas com sede nos Estados Unidos, governos locais, uma universidade e uma empresa de engenharia”.
Qual é o objetivo do hacker?
O ataque deu aos hackers acesso aos sistemas de e-mail das organizações visadas. Uma vez que os atacantes do Hafnium comprometem uma organização, explicou a Microsoft, eles costumam roubar dados como e-mails e catálogos de endereços e obter acesso ao banco de dados de contas de usuários.
Uma vítima, que trabalhava em um think tank de Washington, foi informada pelo FBI que os invasores usaram o acesso não autorizado para enviar e-mails aos contatos dessa pessoa de uma forma que parecia legítima. Cada mensagem inclui links pedindo às pessoas que cliquem neles, disse a vítima à CNN na sexta-feira (5).
Os hackers também podem instalar malware adicional para facilitar o acesso contínuo e de longo prazo aos sistemas das vítimas, incluindo arquivos, caixas de entrada e credenciais armazenadas.
O que está sendo feito sobre isso?
A Microsoft lançou na semana passada atualizações de segurança de emergência para clientes que usam sistemas Exchange Server locais.
“Nós encorajamos todos os clientes do Exchange Server a aplicar essas atualizações imediatamente”, disse a Microsoft em comunicado.
A Microsoft lançou uma ferramenta que pode ajudar os usuários a detectar atividades mal-intencionadas relacionadas. A CISA aconselhou as autoridades de segurança de rede a procurarem evidências de invasões, em setembro de 2020, e divulgou uma diretiva de emergência na terça-feira (9) exigindo que as agências federais atualizassem seus servidores ou os desconectassem.
O secretário de imprensa da Casa Branca, Jen Psaki, e o assessor de Segurança Nacional, Jake Sullivan, também pediram aos administradores de TI em todo o país a imediata instalação das correções de software.
A CISA alertou na semana passada que, se não for tratada, a atividade maliciosa pode “permitir que um invasor obtenha o controle de toda a rede corporativa”.
O Governo Biden deve formar uma força-tarefa envolvendo várias agências – incluindo o Conselho de Segurança Nacional, FBI, CISA e outros – para lidar com o ataque hacker.
“Isso tem o potencial de afetar simultaneamente as organizações que são essenciais para a vida cotidiana nos Estados Unidos”, disse à CNN uma fonte familiarizada com a investigação do governo dos Estados Unidos sobre a invasão.
(Texto traduzido. Leia o original em inglês).
