أفاد صحفيو الأمن السيبراني (براين كريبس) Brian Krebs و (آندي جرينبيرج) Andy Greenberg قبل أيام أن ما يصل إلى 30 ألف منظمة تعرضت لاختراق غير مسبوق من خلال اختراق خادم البريد الإلكتروني Microsoft Exchange، ويعتقد أن الاختراق قادم من مجموعة القرصنة الصينية التي ترعاها الدولة المعروفة باسم Hafnium.
وتضاعف هذا التقدير ليصل إلى 60 ألف عميل تم اختراقهم في جميع أنحاء العالم، حيث اعترفت الهيئة المصرفية الأوروبية بأنها أحد الضحايا، ويبدو أن شركة مايكروسوفت استغرقت وقتًا طويلاً جدًا لإدراك خطورة وخطورة تصحيحه.
ووضع كريبس جدولًا زمنيًا أساسيًا لاختراق خادم Exchange Server الضخم، ويقول: إن مايكروسوفت أكدت أنها على علم بالثغرات الأمنية في أوائل شهر يناير.
وكان هذا قبل شهرين تقريبًا من إصدار مايكروسوفت أول مجموعة من التصحيحات، جنبًا إلى جنب مع تدوينة لم تشرح نطاق أو حجم الهجوم، وكانت تخطط في الأصل لانتظار أحد أيام الثلاثاء القياسية الخاصة بها لإصدار التصحيحات، لكنها تراجعت وأرسلتها قبل أسبوع.
وذكرت مجلة MIT Technology Review أن Hafnium قد لا تكون التهديد الوحيد، ونقلاً عن محلل للأمن السيبراني يدعي أنه يبدو أن هناك خمس مجموعات قرصنة على الأقل تستغل بنشاط عيوب خادم Exchange Server اعتبارًا من يوم السبت.
وبحسب ما ورد، يتدافع المسؤولون الحكوميون لفعل شيء ما، حيث قال أحد مسؤولي الدولة: إنها مشكلة كبيرة جدًا، فيما وصفتها السكرتيرة الصحفية للبيت الأبيض بأن المشكلة تمثل تهديدًا نشطًا، مما لفت الانتباه إلى التوجيه الذي أرسلته وكالة الأمن السيبراني التابعة لوزارة الأمن الداخلي في 3 مارس.
وحذر مستشار الأمن القومي للبيت الأبيض من ذلك أيضًا، وكذلك المدير السابق لوكالة الأمن السيبراني وأمن البنية التحتية ومجلس الأمن القومي بالبيت الأبيض.
ويحتاج أي شخص قام بتثبيت خادم Microsoft Exchange محليًا إلى تثبيت التصحيح، وتفيد التقارير أن المتسللين ثبتوا برامج ضارة يمكنها السماح لهم بالعودة إلى الخوادم مرة أخرى، ومن غير المعروف حتى الآن ما الذي قد استولوا عليه.
ورفضت مايكروسوفت التعليق على توقيت التصحيحات والإفصاحات، مشيرةً إلى بيان سابق بدلاً من ذلك يقول: نحن نعمل عن كثب مع CISA والوكالات الحكومية الأخرى وشركات الأمان للتأكد من أننا نقدم أفضل توجيه ممكن وتخفيف للعملاء.
وأضاف البيان: أفضل حماية هي تثبيت التحديثات في أسرع وقت ممكن عبر جميع الأنظمة المتأثرة، ونواصل مساعدة العملاء من خلال توفير إرشادات تحقيق وتخفيف إضافية، ويجب على العملاء المتأثرين الاتصال بفرق الدعم للحصول على مساعدة وموارد إضافية.
This is the real deal. If your organization runs an OWA server exposed to the internet, assume compromise between 02/26-03/03. Check for 8 character aspx files in C:inetpubwwwrootaspnet_clientsystem_web. If you get a hit on that search, you’re now in incident response mode. https://t.co/865Q8cc1Rm
— Chris Krebs (@C_C_Krebs) March 5, 2021
Patching and mitigation is not remediation if the servers have already been compromised. It is essential that any organization with a vulnerable server take immediate measures to determine if they were already targeted. https://t.co/HYKF2lA7sn
— National Security Council (@WHNSC) March 6, 2021
