Foto: Shutterstock

Zväčša išlo o špionáž a tiež o ťažbu kryptomien

Začiatkom marca 2021 vydala spoločnosť Microsoft „záplaty“ pre Exchange Servery 2013, 2016 a 2019, ktoré opravujú sériu RCE (remote code execution) zraniteľností. Tie umožňujú útočníkom zmocniť sa akéhokoľvek dostupného Exchange servera aj bez platných prístupových údajov. Zraniteľné sú najmä servery, ktoré sú pripojené k internetu.

„Začiatkom marca sme zaregistrovali útoky na Exchange servery. Zaujímavé je, že všetky majú na svedomí APT skupiny, ktoré sa zameriavajú na špionáž s výnimkou prípadu, kde to vyzerá na spojitosť s operáciou na ťaženie kryptomeny. V každom prípade je jasné, že čoraz viac útočníkov, vrátane útočníkov s ransomvérmi, získa skôr či neskôr prístup k zneužívaniu zraniteľností,“ varoval Matthieu Faou, ktorý viedol výskum spoločnosti ESET zameraný na zraniteľnosti serverov Exchange.

Prítomnosť problémov odhalila telemetria

Telemetria ukázala prítomnosť webshellov, škodlivých programov alebo scriptov, ktoré umožňujú diaľkové ovládanie servera cez webový prehliadač, na viac ako 5-tisíc rôznych serveroch vo viac ako 115 krajinách sveta. Ochrana od ESET-u bráni pred postupom útoku tak, že zachytáva škodlivý kód typu webshell a backdoor, ktoré sú nainštalované útočníkmi.

Slovenská softvérová firma identifikovala viac ako desať rôznych aktérov, ktorí pravdepodobne zneužili nedávne RCE zraniteľnosti Microsoft Exchange. V niektorých prípadoch zacielili viaceré skupiny na tú istú organizáciu.

„Je najvyšší čas čo najrýchlejšie zaplátať všetky Exchange servery. Zaplátané by mali byť dokonca aj tie, ktoré nie sú priamo pripojené k internetu. V prípade skompromitovania by mali administrátori odstrániť webshelly, zmeniť prístupové údaje a prešetriť každú ďalšiu podozrivú aktivitu,“ uzatvára M. Faou.

Na koho a ako útočili odhalené skupiny?

• Tick má na svedomí skompromitovanie webových serverov IT spoločnosti so sídlom vo východnej Ázii.
• LuckyMouse skompromitovala mailový server vládnej organizácie na Blízkom východe.
• Calypso najprv zacielila na mailové servery vládnych inštitúcií na Blízkom východe a v Južnej Amerike. Neskôr jej členovia zaútočili na ďalšie vládne a firemné servery v Afrike, Ázii a Európe.
• Websiic zaútočil na sedem mailových serverov, ktoré patria súkromným IT, telekomunikačným a inžinierskym spoločnostiam v Ázii a vládnej inštitúcii vo východnej Európe.
• Winnti Group skompromitovala mailové servery ropnej a strojárenskej spoločnosti v Ázii.
• Tonto Team skompromitoval mailové servery obstarávacej spoločnosti a poradenskej firmy, ktorá sa špecializuje na softvérový vývoj a kybernetickú bezpečnosť. Obe zasiahnuté organizácie sídlia vo východnej Európe.
• Aktivita ShadowPad skompromitovala servery spoločnosti vyvíjajúcej softvér v Ázii a realitnej spoločnosti na Blízkom východe.
• The „Opera“ Cobalt Strike svoj útok cielila na približne 650 serverov prevažne v USA, Nemecku, Spojenom kráľovstve a ostatných európskych krajinách.
• IIS backdoory nainštalované cez webshelly boli použité na kompromitovanie štyroch mailových serverov v Ázii a Južnej Amerike.
• Mikroceen skompromitoval server dodávateľa verejnej služby v strednej Ázii, kde táto skupina typicky útočí.
• DLTMiner – ESET zachytil nasadenie PowerShell downloaderov na viacerých mailových serveroch, ktoré boli predtým napadnuté cez Exchange zraniteľnosti. Sieťová infraštruktúra použitá pri tomto útoku sa spája s medializovanou operáciou ťaženia kryptomien.