Microsoft заявила, что Китай взломал Exchange; государственные органы США издали срочное предупреждение

    Агентство кибербезопасности и защиты инфраструктуры США (Cybersecurity and Infrastructure Security Agency, CISA) выпустило экстренное предупреждение о необходимости обновить программу для обмена сообщениями Microsoft Exchange Server, которой активно пользуются американские ведомства, учреждения и предприятия. Ранее Microsoft объявила о взломе сервиса. Злоумышленники, как сообщила компания в своем блоге, могут работать на правительство Китая. 

    «В ходе атак злоумышленники использовали уязвимости, чтобы получить доступ к учетным записям электронной почты и устанавливать вредоносные программы для получения постоянного доступа к среде. Microsoft Threat Intelligence Center (MSTIC) с высокой степенью уверенности считает, что эта кампания осуществляется группой HAFNIUM, деятельность которой, по сведениям, оплачивается правительством Китая», — сообщается в блоге компании.

    Microsoft добавила, что доказательств того, что мишенью атак были отдельные пользователи, не обнаружено, однако ранее деятельность группы была направлена, в первую очередь, против «организаций, которые занимаются исследованиями инфекционных заболеваний, против юридических фирм, высших учебных заведений, оборонных подрядчиков, аналитических центров и неправительственных организаций».

    Microsoft опубликовала исправления для четырех уязвимостей нулевого дня, которые компания обнаружила в коде Exchange. Речь идет об уязвимостях, которые позволяли отправлять произвольные HTTP-запросы, обходить аутентификацию и записывать произвольные файлы. CISA заявило, что все государственные учреждения должны до полудня пятницы загрузить обновление ПО, так как взломщики Exchange могут «получить постоянный доступ к системе».

    Представитель китайского посольства в Вашингтоне отметил, что инцидент требует сбора дальнейших доказательств.

    «Китай неоднократно повторял, что, учитывая виртуальную природу киберпространства и тот факт, что существуют всевозможные онлайн-игроки, которых трудно отследить, выявить источник кибератак — сложная техническая задача, — заявили в посольстве. — Мы надеемся, что СМИ и компания подчеркнут важность наличия доказательств и не будут выдвигать необоснованные обвинения».

    Комментарии 22

      +11
      Злоумышленники, как сообщила компания в своем блоге, могут работать на правительство Китая
      А ещё они могут работать на правительство Гондураса. Ну или на правительство Нигерии, предположительно на высоком уровне. Да и вообще могут работать на какое угодно правительство. А могут и не работать ни на какое правительство. Главное в новости упомянуть Китай или Россию а дальше журналисты сами всё сделают.
        +7
        В статье — «сообщили что могут работать на Китай». В заголовке уже безапелляционно — «взломал Китай». Завтра на основании этого заголовка введут санкции.
          +8

          "Учёный изнасиловал журналиста", классика жанра.

          +1
          Просто у 51го штата, за Атлантическим океаном, очень уж хорошо получилось с хайли лайкли, грех не воспользоваться, схема то рабочая
            +1
            Ну, просто нужно все старые новости подправить и если там не указано, что взлом осуществляли русские, севкорейцы или китайцы, то утверждать, что за ними стояли США. А ещё и обосновывать это наличием у них инструментов.
            +5

            Тёмная армия активизировалась?

              +2
              Белая Роза не дремлет :)
                0
                Как-то мелко для Белой Розы
              +5

              Америкосы давно поняли то, что людям не требуются факты и доказательства и всегда правда на стороне того, кто первый начнет обвинять.
              Правила из детского сада работают и со взрослыми обывателями.

                +3
                Эпоха пост-правды. Главное начать эмоционально трубить, а когда разберутся — уже никому дела не будет.
                  +7
                  >Правила из детского сада работают и со взрослыми обывателями.
                  >>Америкосы
                  Сразу видно взрослого, уверенного в себе человека, который никогда не опустится до детсадовского уровня и не станет обзываться на целую страну из-за бессильной злобы.
                    0
                    Скорее, это взрослый, уверенный в себе ребенок)))
                  +3

                  То у MS студент из Брно стал русским хакером (число в 10000 человек — не иначе человек-армия!), то вот китайские хакеры поломали поломанное...


                  Программы нужно писать качественно, а не прятаться за EULA (мол, платя нам деньги, вы сразу платите их ни за что, и согласны со всеми багами и косяками) — тогда не придется и придумывать национально-страшительные следы!

                    +2
                    Недавно была статья про IBM, про результат качественных программ.
                    Программа должна работать на достаточном уровне, чтоб устраивало пользователей. На полную безбажность уйдет на порядки больше денег, и, главное, времени до выхода на рынок. И все равно цель не будет достигнута.
                      +3

                      Так тут и без ibm понятно, что без багов трудновато (собственно, самая качественная программа в мире не оказалась без ошибок) — к ms вопрос лишь по поводу того, что они начали пытаться свои косяки прикрывать «хакерами».


                      По сути, вместо «да мы облажались, оставили прямо в коде лазейку, недотестировали, наш косяк» они уже второй раз говорят в стиле «мертвые с косами стоят», точнее, что, мол, все бы работало, но злобные русские/китайские хакеры взломали код, написанный, товарищи зрители, так-то без замечаний.


                      Понятно, что на кону получение контракта на облако для Пентагона (условно), и всем проще играть в игру, словно никто не понимает, что за качество кода отвечает не хакер, а программист(ы) — тем более что для конгрессменов и военных слова Russia и China извиняют любые другие косяки — но на этот спектакль смотрит остальной мир!


                      И мир отлично знает, сколько багов в коде ms, написанном «без замечаний»!

                      +2
                      То у MS студент из Брно стал русским хакером
                      Нет, не стал. По вашей же ссылке сказано, что на него повесили публикацию пароля в открытом доступе, а не то, что он эксплуатировал дыру.
                        0

                        Это да. Только бездоказательно кричать, что 10000 русских (?) хакеров (??) пролезли через дыру, ничего не ломая (пароль на видном месте) — это совсем криво.


                        Для начала, если кто-то нашел на гитхабе пароль, и вручную влез куда-то — о его национальной принадлежности как говорить? Во-вторых, если кто-то по открыто доступно к паролю вошел через открыто доступный порт, и что-то там сделал — почему он хакер? Это может быть и школьник, и студент, и исследователь пентагона, работающий в коммандировке с ip другой страны.

                          0
                          Во-вторых, если кто-то по открыто доступно к паролю вошел через открыто доступный порт, и что-то там сделал — почему он хакер?
                          Потому что найденный пароль использовался только для эксплуатации системы обновлений и подписания бинарников, конкретно хакерская работа заключалась в создании и эксплуатации бэкдоров. Вы сейчас либо намеренно манипулируете, либо действительно думаете, что весь взлом выглядел как «зашёл в админку и что-то слил».

                          www.fireeye.com/blog/threat-research/2020/12/evasive-attacker-leverages-solarwinds-supply-chain-compromises-with-sunburst-backdoor.html

                          К тому же для взлома использовались не только софт SolarWinds, но и дыры VMWare, например.
                      0
                      Возможно, Китай здесь нужен скорее как страшилка, чтобы народ побыстрее обновился и не тянул.
                        0
                        Америке нужен внешний враг чтобы оправдывать расходы на оборону и просчеты во внутренней политике. Когда-то в роли врага выступал СССР, потом Россия(больше наверное по старой памяти), но сейчас простые американские обыватели на это уже не ведутся, даже статья в NI что злые русские платили награды бедным афганским фермерам за убитых американских солдат — не прокатила.
                        Теперь в роли врага будет Китай, обвинять его, по традиции, можно в чем угодно, доказательства не требуются — он виновен по умолчанию
                        Хайли Лайкли рулит…
                          +4
                          Это новый хабр. Нет никаких ссылок на описание уязвимостей. Нет технических деталей. Нет почти вообще ничего относящегося к фактам.

                          us-cert.cisa.gov/ncas/alerts/aa21-062a
                            0
                            Спасибо за ссылку и информацию. Плюсую, надо добавить в статью, там задротство.

                            Жалко, не написано, как добивалось remote code execution.

                          Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.

                          Самое читаемое