近日駭客大規模攻擊微軟的商用軟體 Microsoft Exchange Server 恐演變成全球性的資安危機,據評估目前有至少有 6 萬個受者者,其中多數是中小企業。微軟 2021 年 3 月 2 日表示,這次的大規模襲擊是中國政府在背後支持的駭客組織所發起的。中國外交部發言人汪文斌則反駁表示,說駭客攻擊跟政府有關要有充分的證據。
這波駭客攻擊受害者之一的歐洲銀行管理局(European Banking Authority)7 日表示,保存在微軟伺服器電子郵件內的個人資訊可能已經遭駭外流了。一家位於美國的資安監管服務公司表示,到目前為止已發現受害的企業包括銀行和電力供應商,以及老年人住宅和一家冰淇淋公司。另一家不願透露名字的美國網路安全公司表示,光旗下的一個專家至少就有 50 個服務的客戶受害,目前正試圖迅速確認駭客可能已經獲取了哪些數據。
微軟表示駭客可能透過 4 個軟體漏洞攻擊 Microsoft Exchange 的伺服器,微軟說:「從電子郵件帳戶攻擊,讓惡意軟體安裝在此可以方便長期造訪受害者的資料。」微軟已針對受影響的 Exchange Server 2013、2016 和 2019 版釋出了更新版本。微軟認為,這次攻擊是 Hafnium 所為。微軟威脅情報中心根據駭客的攻擊策略和流程確定是 Hafnium 是由中國政府在背後支持的。微軟客戶安全與信任部門副總裁柏特(Tom Burt)說:「Exchange 伺服器主要供商業客戶使用,我們尚無證據顯示 Hafnium 的活動有針對個人消費者,或者這些漏洞有影響到其他微軟產品。」
駭客組織 Hafnium 主要針對美國多個產業實體,包括傳染病研究人員、律師事務所、高等教育機構、國防承包商、政策智庫和非政府組織。微軟表示,儘管這個組織被認為是位於中國,但它經常使用位於美國的虛擬專用伺服器進行攻擊。Hafnium 一旦成功駭入 Microsoft Exchange 就會植入 web shell 網頁程式,這種程式使得微軟郵件服務大開後門,讓駭客得以長期從遠端控制受駭組織的 Exchange Server,進行竊取資訊、執行任意程式碼、或在內部網路橫向移動等違法行為。
不久前,2020 年底 SolarWinds 遭到疑似俄羅斯駭客攻擊,因此這起中國駭客的襲擊引起美國國安官員的關注,部分原因是最近的駭客攻擊能夠如此快地襲擊如此多的受害者。研究人員說,攻擊者似乎已經可以在攻擊的最後階段自動化攻擊過程,在短短幾天之內在全世界造成成千上萬的新受害者。《紐約時報》援引身份不明的官員的話報導說,美國政府正準備在未來 3 週內採取打擊外國入侵第一輪的重大措施。
中國外交部發言人汪文斌反駁說:「將網路攻擊直接與政府聯繫是一個高度敏感的政治問題。中國希望有關媒體和公司採取專業和負責任的態度。在描述網路事件時,應基於充分的證據,而不是無端的猜測。」
參考來源:
2021/03/03 CNN Microsoft says a group of cyberattackers tied to China hit its Exchange email servers
2021/03/08 Bloomberg Microsoft Attack Blamed on China Morphs Into Global Crisis
2021/03/02 The Official Microsoft Blog New nation-state cyberattacks by Tom Burt – Corporate Vice President, Customer Security & Trust