Computação

Quatro novos grupos de hackers juntaram-se a uma ofensiva contínua contra os servidores de e-mail da Microsoft

No início de março, hackers chineses que visavam servidores Microsoft Exchange juntaram -se a outros grupos numa espécie de frenesim.

Uma campanha de hackers ligada ao governo chinês revelada pela Microsoft no início de março aumentou rapidamente. Pelo menos quatro outros grupos de hackers distintos estão a atacar falhas críticas no software de e-mail da Microsoft numa campanha cibernética que o governo dos Estados Unidos descreve como “ampla exploração doméstica e internacional” com o potencial de impactar centenas de milhares de vítimas em todo o mundo.

A partir de janeiro deste ano, hackers chineses conhecidos como Hafnium começaram a explorar vulnerabilidades nos servidores Microsoft Exchange. Mas desde que a empresa revelou publicamente a campanha, mais quatro grupos se juntaram, e os hackers chineses originais abandonaram a pretensão de furtividade e aumentaram o número de ataques que estão a realizar. A lista crescente de vítimas inclui dezenas de milhares de empresas e escritórios do governo dos EUA visados ​​pelos novos grupos.

“Existem pelo menos cinco grupos diferentes em atividade que parecem estar a explorar as vulnerabilidades”, diz Katie Nickels, que lidera uma equipa de inteligência da empresa de segurança cibernética Red Canary que está a investigar os hackers. Ao rastrear ameaças cibernéticas, os analistas de inteligência agrupam grupos de atividades de hacking pelas técnicas, táticas, procedimentos, máquinas, pessoas e outras características específicas que observam. É uma forma de rastrear as ameaças que enfrentam.

Hafnium é um sofisticado grupo de hackers chinês que realiza campanhas de espionagem cibernética contra os Estados Unidos, de acordo com a Microsoft. São um superpredador – exatamente o tipo que sempre é seguido de perto por “abutres” oportunistas e espertos.

A atividade rapidamente acelerou assim que a Microsoft fez o seu anúncio no início de março. Mas exatamente quem são esses grupos de hackers, o que querem e como estão a aceder a esses servidores ainda não é claro. É possível que o grupo Hafnium original tenha vendido ou partilhado o seu código exploit (um código que permite que um hacker aproveite uma vulnerabilidade) ou que outros hackers tenham utilizado engenharia reversa nos exploits com base nas correções que a Microsoft lançou, explica Nickels.

“O desafio é que tudo isso é muito obscuro e há muitas sobreposições”, diz Nickels. “O que vimos é que, desde que a Microsoft publicou sobre o Hafnium, este expandiu-se para além do Hafnium. Vimos atividades que parecem diferentes tanto no sentido de táticas e técnicas quanto de procedimentos do que relataram”.

Ao explorar vulnerabilidades em servidores Microsoft Exchange, que as organizações usam para operar os seus próprios serviços de e-mail, os hackers podem criar um web shell — uma ferramenta de hacking acessível remotamente que permite facilmente o acesso backdoor e controlo da máquina infectada — e controlar o servidor comprometido pela Internet e, em seguida, roubar dados de toda a rede do seu destino. O web shell significa que, embora a Microsoft tenha lançado correções para as falhas — que apenas 10% dos clientes do Exchange aplicaram até o início de março, de acordo com a empresa — o hacker ainda tem acesso ao backdoor dos seus alvos.

Aplicar as correções de software da Microsoft é um primeiro passo crucial, mas o esforço total de limpeza do sistema será muito mais complicado para muitas vítimas em potencial, especialmente quando os hackers movem-se livremente para outros sistemas na rede.

“Estamos a trabalhar em estreita colaboração com a CISA [Cybersecurity and Infrastructure Security Agency], outras agências governamentais e empresas de segurança, para garantir que estamos a fornecer a melhor assessoria e mitigação possível para os nossos clientes”, disse um porta-voz da Microsoft. “A melhor proteção é aplicar atualizações o mais rápido possível em todos os sistemas afetados. Continuamos a ajudar os clientes, fornecendo investigação adicional e orientação de mitigação. Os clientes afetados devem entrar em contacto com as nossas equipas de suporte para obter ajuda e recursos adicionais”.

Com vários grupos agora atacando as vulnerabilidades, espera-se que os hacks afetem desproporcionalmente as organizações que menos podem se dar ao luxo de se defender deles, como pequenas empresas, escolas e governos locais, disse o ex-oficial de segurança cibernética dos EUA, Chris Krebs.

“Porquê?” Krebs perguntou no Twitter. “Isso é uma demonstração de força logo nos primeiros dias do presidente Biden para testar a sua determinação? É uma gangue de crimes cibernéticos fora de controlo? Os empreiteiros enlouqueceram?”

Com potencialmente centenas de milhares de vítimas em todo o mundo, esta campanha de hacking do Exchange afetou mais alvos do que o ataque hacker a SolarWinds que o governo dos EUA está a lutar para arrumar. Mas, como com esse episódio, os números não são tudo: os hackers russos por trás do episódio na empresa SolarWinds eram altamente disciplinados e perseguiam alvos específicos de alto valor, embora tivessem acesso potencial a muitos milhares.

O mesmo se aplica aqui. Mesmo que os números totais sejam alarmantes, nem todos são catastróficos. “ [Os ataques] não todos são iguais”, diz Nickels. “Existem servidores Exchange vulneráveis ​​onde a porta [dos códigos] está aberta, mas não sabemos se um inimigo passou por esta. Existem servidores ligeiramente comprometidos; talvez um web shell seja descartado, mas nada além disso. Depois, há a outra extremidade do espectro, onde os hackers tiveram atividades subsequentes e mudaram para outros sistemas”.

É raro a Casa Branca comentar sobre questões de cibersegurança, mas o governo Biden teve motivos para falar muito sobre hackers nos seus primeiros dois meses de mandato, entre o ataque a SolarWinds e este último incidente. “Estamos preocupados com o grande número de vítimas e estamos a trabalhar com os nossos parceiros para entender o alcance disso”, disse a secretária de imprensa da Casa Branca, Jen Psaki, durante uma entrevista coletiva no início do mês. “Os proprietários de rede também precisam considerar se já foram comprometidos e devem tomar as medidas adequadas imediatamente”.

Nossos tópicos