A Microsoft admitiu, nesta semana, que o seu serviço Exchange sofreu um ataque hacker de um grupo chinês. O problema teria afetado pelo menos 30 mil companhias somente nos Estados Unidos, incluindo bancos, departamentos de polícia, hospitais e organizações sem fins lucrativos.
O Exchange é uma plataforma de e-mails corporativos que é executada no Microsoft Servers, rede de servidores da empresa. A gigante teve conhecimento da brecha de segurança e chegou a lançar um patch de correção, mas o ataque ocorreu antes de que todos atualizassem o software.
Segundo a gigante de tecnologia, o grupo responsável pelo crime se autodenomina “Hafnium”. Além das vítimas norte-americanas, a extensão do ataque foi global, sendo que o número de afetados pode passar dos milhões.
Apesar da larga escala, o Hafnium tem como alvo primário entidades dos Estados Unidos, de acordo com a própria Microsoft. Os cibercriminosos têm o objetivo de “extrair informações de vários setores da indústria, incluindo pesquisadores de doenças infecciosas, escritórios de advocacia, instituições de ensino superior, empresas de defesa, think tanks de políticas e ONGs”.
Assunto de Segurança Nacional
O governo dos Estados Unidos considerou o fato tão grave que convocou uma coletiva de imprensa na última sexta-feira (5). A secretária de imprensa da Casa Branca, Jen Psaki, alertou para que as empresas que utilizam o Exchange implementem o novo patch de segurança o mais rápido possível.
“Estamos preocupados com o grande número de vítimas e estamos trabalhando com nossos parceiros para entender o escopo de tudo isso”, afirmou a secretária.
Chris Krebs, ex-diretor da Agência de Cibersegurança e Infraestrutura, argumentou que todos que utilizavam o serviço deveriam “assumir um compromisso” para tomar medidas para remover o acesso aos hackers.
Thoughts on the Hafnium Exchange hack: (1) it's going to disproportionately impact those that can least afford it (SMBs, Edu, States, locals), (2) incident response teams are BURNED OUT & this is at a really bad time, (3) few orgs should be running exchange servers these days. https://t.co/bc5yutThve
— Chris Krebs (@C_C_Krebs) March 6, 2021
Modus operandi
A Microsoft, que disse estar contribuindo com as investigações e investindo em segurança para diminuir o tamanho do ataque, explicou que o Hafnium utilizou “exploits”, que são conjuntos de malwares.
Uma das formas de identificar o grupo responsável foi justamente o tipo de exploit usado, que já era conhecido. Eles efetuaram o crime virtual em três etapas. Na primeira, eles roubaram senhas de usuários do Exchange utilizando vulnerabilidades que eram desconhecidas.
Depois, eles criaram o chamado “web shell”, que cria um script malicioso. A partir do web shell, eles conseguiram controlar o servidor remotamente. Por último, eles usaram o acesso para roubar os dados das empresas, organizações e órgãos públicos.
“É enorme. Absolutamente enorme”, relatou um ex-oficial da Segurança Nacional dos EUA sobre o ataque ao site Wired. “Estamos falando de milhares de servidores comprometidos por hora”, defendeu a fonte.
No final do ano passado a Microsoft já havia sofrido um ataque hacker de grandes proporções. À época, as ações foram atribuídas a hackers russos.
Categorias
