США и коалиция их союзников, включая ЕС, Великобританию и НАТО, официально обвинили власти Китая в масштабной хакерской кампании по взлому серверов Microsoft Exchange. Напомню, что эти атаки продолжаются с начала 2021 года и направлены на десятки тысяч компаний и организаций по всему миру.

Сообщается, что Китай использовал для кибершпионских операций «уязвимости нулевого дня Microsoft в Exchange Server, раскрытые в начале марта 2021 года».

В начале марта 2021 года инженеры Microsoft выпустили внеплановые патчи для четырех уязвимостей в почтовом сервере Exchange, которым исследователи дали общее название ProxyLogon (CVE-2021-26855CVE-2021-26857CVE-2021-26858 и CVE-2021-27065).

Эти уязвимости можно объединить в цепочку, а их эксплуатация позволит злоумышленнику пройти аутентификацию на сервере Exchange, получить права администратора, установить малварь и похитить данные.

Уже в марте атаки на уязвимые серверы совершали более 10 хак-групп, разворачивая на серверах веб-шеллы, майнеры и шифровальщики.

«Нам известно, что в некоторых случаях киберпреступники, аффилированные с правительством КНР, проводили вымогательские операции против частных компаний, требуя многомиллионные выкупы», — заявляют в Белом доме.

«Атаки на программное обеспечение Microsoft Exchange с большой вероятностью связаны с крупномасштабной шпионской кампанией, нацеленной на получение личных данных и интеллектуальной собственности, — заявляют в Национальном центре кибербезопасности Великобритании. — Весьма вероятно, что группа, известная как HAFNIUM, связанная с китайским правительством, ответственна за эту активность».

Также Великобритания добавила, что Министерство государственной безопасности Китая стоит за такими «правительственными хакерскими группами», как APT40 и APT31.

Министерство юстиции АНБ, CISA и ФБР уже выпустили техническое руководство по обнаружению вторжений и активности китайских хак-групп, атаки которых нацелены на сети США и их союзников. Также американские правоохранители опубликовали индикаторы компрометации  APT40, чтобы компании могли обнаружить присутствие хакеров в своих сетях.

Стоит отметить, что практически одновременно с обвинениями, выдвинутыми в адрес Китая, Министерство юстиции США сообщило о возбуждении уголовного дела против четырех граждан Китая, которые якобы являются участниками вышеупомянутой хакерской группы APT40.

Представители Китая уже отреагировали на обвинения в свой адрес. Так, представитель МИД старны Чжао Лицзянь заявил на пресс-конференции, что именно США являются «крупнейшим источником кибератак в мире»; атакуют китайские аэрокосмические, научные и исследовательские учреждения, нефтяную промышленность, государственные учреждения и интернет-компании последние 11 лет (такой вывод сделали исследователи из китайской компании Qihoo 360 в прошлом году); прослушивают разговоры как своих конкурентов, так и союзников; а также оказывают давление на НАТО и других союзников с целью создания военного альянса в киберпространстве, который «может спровоцировать [гонку] кибервооружений и подорвать международный мир и безопасность».

1 комментарий

  1. Аватар

    Killswitch1982

    21.07.2021 в 13:57

    Что ни заявление от США и Великобритании то сплошное «highly likely».

Оставить мнение