США и коалиция их союзников, включая ЕС, Великобританию и НАТО, официально обвинили власти Китая в масштабной хакерской кампании по взлому серверов Microsoft Exchange. Напомню, что эти атаки продолжаются с начала 2021 года и направлены на десятки тысяч компаний и организаций по всему миру.
Сообщается, что Китай использовал для кибершпионских операций «уязвимости нулевого дня Microsoft в Exchange Server, раскрытые в начале марта 2021 года».
В начале марта 2021 года инженеры Microsoft выпустили внеплановые патчи для четырех уязвимостей в почтовом сервере Exchange, которым исследователи дали общее название ProxyLogon (CVE-2021-26855, CVE-2021-26857, CVE-2021-26858 и CVE-2021-27065).
Эти уязвимости можно объединить в цепочку, а их эксплуатация позволит злоумышленнику пройти аутентификацию на сервере Exchange, получить права администратора, установить малварь и похитить данные.
Уже в марте атаки на уязвимые серверы совершали более 10 хак-групп, разворачивая на серверах веб-шеллы, майнеры и шифровальщики.
«Нам известно, что в некоторых случаях киберпреступники, аффилированные с правительством КНР, проводили вымогательские операции против частных компаний, требуя многомиллионные выкупы», — заявляют в Белом доме.
«Атаки на программное обеспечение Microsoft Exchange с большой вероятностью связаны с крупномасштабной шпионской кампанией, нацеленной на получение личных данных и интеллектуальной собственности, — заявляют в Национальном центре кибербезопасности Великобритании. — Весьма вероятно, что группа, известная как HAFNIUM, связанная с китайским правительством, ответственна за эту активность».
Также Великобритания добавила, что Министерство государственной безопасности Китая стоит за такими «правительственными хакерскими группами», как APT40 и APT31.
Министерство юстиции АНБ, CISA и ФБР уже выпустили техническое руководство по обнаружению вторжений и активности китайских хак-групп, атаки которых нацелены на сети США и их союзников. Также американские правоохранители опубликовали индикаторы компрометации APT40, чтобы компании могли обнаружить присутствие хакеров в своих сетях.
Стоит отметить, что практически одновременно с обвинениями, выдвинутыми в адрес Китая, Министерство юстиции США сообщило о возбуждении уголовного дела против четырех граждан Китая, которые якобы являются участниками вышеупомянутой хакерской группы APT40.
Представители Китая уже отреагировали на обвинения в свой адрес. Так, представитель МИД старны Чжао Лицзянь заявил на пресс-конференции, что именно США являются «крупнейшим источником кибератак в мире»; атакуют китайские аэрокосмические, научные и исследовательские учреждения, нефтяную промышленность, государственные учреждения и интернет-компании последние 11 лет (такой вывод сделали исследователи из китайской компании Qihoo 360 в прошлом году); прослушивают разговоры как своих конкурентов, так и союзников; а также оказывают давление на НАТО и других союзников с целью создания военного альянса в киберпространстве, который «может спровоцировать [гонку] кибервооружений и подорвать международный мир и безопасность».
#FMsays China strongly urges the US and its allies to stop "splashing dirty water" on China over cybersecurity issues and revoke their so-called accusations, said FM spokesman Zhao Lijian. pic.twitter.com/5P755zSthg
— China Daily (@ChinaDaily) July 20, 2021