מיקרוסופט מאשימה את סין בפריצה לשרתי דוא״ל

קבוצת HAFNIUM משתמשת בעיקר בשרתי VPS אמריקאים על מנת להסתיר את נתיב הפריצה. מיקרוסופט מייחסת את הקבוצה לממשל הסיני

bigstock

מיקרוסופט זיהתה מספר ניצולים של חולשת יום-0 המשמשים לתקיפת גרסאות מקומיות של Microsoft Exchange Server בהתקפות מוגבלות וממוקדות. מדובר בפגיעויות CVE-2021-26855, CVE-2021-26857, CVE-2021-26858, and CVE-2021-27065. 

בהתקפות שנצפו, שחקן האיום השתמש בפגיעות אלה כדי לגשת לשרתי Exchange מקומיים שאיפשרו גישה לחשבונות דואר אלקטרוני, ואיפשרו התקנה של תוכנות זדוניות נוספות כדי להקל על גישה ארוכת טווח לסביבות הקורבן.  מרכז המודיעין של מיקרוסופט (MSTIC) מייחס את הקמפיין הזה בביטחון גבוה ל- HAFNIUM, קבוצה שהוערכה כממומנת על ידי סין, בהתבסס על קורבנות, טקטיקות ונהלים שנצפו. 

HAFNIUM מכוונת בעיקר לגופים בארצות הברית במספר מגזרי תעשייה, כולל חוקרי מחלות זיהומיות, משרדי עורכי דין, מוסדות להשכלה גבוהה, קבלני ביטחון, צוותי חשיבה מדיניים וארגונים לא ממשלתיים. HAFNIUM תקפה בעבר קורבנות על ידי ניצול נקודות תורפה בשרתים הפונים לאינטרנט והשתמשה במסגרות קוד פתוח לגיטימיות, כמו Covenant, לצורך פיקוד ובקרה. ברגע שהם קיבלו גישה לרשת קורבנות, HAFNIUM בדרך כלל משחזר נתונים לאתרי שיתוף קבצים כמו MEGA.

בקמפיינים שאינם קשורים לפגיעויות אלו, מיקרוסופט צפתה כי HAFNIUM מנסה לפרוץ למשתמשי Office 365 .למרות שלעתים קרובות הם לא מצליחים לפרוץ לחשבונות לקוחות, פעילות סיור זו מסייעת ליריב לזהות פרטים נוספים על סביבות היעדים שלהם. HAFNIUM פועלת בעיקר משרתים פרטיים וירטואליים מושכרים (VPS) בארצות הברית.