Агентство кибербезопасности и защиты инфраструктуры США (Cybersecurity and Infrastructure Security Agency, CISA) выпустило экстренное предупреждение о необходимости обновить программу для обмена сообщениями Microsoft Exchange Server, которой активно пользуются американские ведомства, учреждения и предприятия. Ранее Microsoft объявила о взломе сервиса. Злоумышленники, как сообщила компания в своем блоге, могут работать на правительство Китая.
«В ходе атак злоумышленники использовали уязвимости, чтобы получить доступ к учетным записям электронной почты и устанавливать вредоносные программы для получения постоянного доступа к среде. Microsoft Threat Intelligence Center (MSTIC) с высокой степенью уверенности считает, что эта кампания осуществляется группой HAFNIUM, деятельность которой, по сведениям, оплачивается правительством Китая», — сообщается в блоге компании.
Microsoft добавила, что доказательств того, что мишенью атак были отдельные пользователи, не обнаружено, однако ранее деятельность группы была направлена, в первую очередь, против «организаций, которые занимаются исследованиями инфекционных заболеваний, против юридических фирм, высших учебных заведений, оборонных подрядчиков, аналитических центров и неправительственных организаций».
Microsoft опубликовала исправления для четырех уязвимостей нулевого дня, которые компания обнаружила в коде Exchange. Речь идет об уязвимостях, которые позволяли отправлять произвольные HTTP-запросы, обходить аутентификацию и записывать произвольные файлы. CISA заявило, что все государственные учреждения должны до полудня пятницы загрузить обновление ПО, так как взломщики Exchange могут «получить постоянный доступ к системе».
Представитель китайского посольства в Вашингтоне отметил, что инцидент требует сбора дальнейших доказательств.
«Китай неоднократно повторял, что, учитывая виртуальную природу киберпространства и тот факт, что существуют всевозможные онлайн-игроки, которых трудно отследить, выявить источник кибератак — сложная техническая задача, — заявили в посольстве. — Мы надеемся, что СМИ и компания подчеркнут важность наличия доказательств и не будут выдвигать необоснованные обвинения».