Hafnium hackera Microsoft Exchange, rubando email da enti americani di diversi settori chiave. Gli esperti credono che si tratti di un gruppo che lavora per il governo cinese.
Microsoft ancora sotto attacco hacker, e il mandante sarebbe il governo cinese. Stavolta a essere preso di mira è stato Microsoft, server di posta elettronica che lavora spesso – ma non solo – in connessione con Outlook sul lato cliente, e che è molto utilizzato da organizzazioni professionali. Gli sviluppatori del colosso di Redmond hanno già rilasciato le patch necessarie a risolvere le quattro vulnerabilità riscontrate, sottolineando l’importanza di eseguire l’aggiornamento al più presto possibile su Microsoft Exchange Server versioni 2013, 2016 e 2019.
L’obiettivo di Hafnium, così è stato ribattezzato il gruppo dal Microsoft Threat Intelligence Center (MSTIC), è rubare email da società americane legate a settori chiave come la sanità, i centri di ricerca sulle malattie infettive, la difesa, i grandi studi legali, i centri di ricerca strategici, il mondo accademico e organizzazioni non governative. Un bel po’ di informazioni sensibili, insomma. Hafnium, aggiunge il dipartimento sicurezza di Microsoft, opera dalla Cina e conta su cyber criminali “sofisticati e altamente specializzati”, che hanno condotto l’attacco in tre atti, se così si può dire. Vediamo quali.
Hafnium, attacco in tre atti per rubare la posta elettronica di società e organizzazioni
LEGGI ANCHE—>Database di profili Facebook su un forum di hacker, che rischio si corre
Sebbene l’exploit sia stato portato avanti da remoto, Hafnium si è avvalso di alcuni virtual private servers (VPS) su territorio statunitense. Oltre a utilizzare delle zero-day, gli hacker cinesi hanno avuto accesso a Microsoft Exchange anche tramite credenziali rubate. Una volta dentro, hanno creato una web shell, ossia un’interfaccia malevola che abilita il controllo da remoto del server. Quindi è scattata l’attività di spionaggio industriale vera e propria, che consisteva nel furto di email dalle reti delle società e delle istituzioni prese di mira.
TI POTREBBE INTERESSARE>>>NASA, un vecchio PowerPC G3 guida il rover Perseverance sul suolo marziano
Microsoft has detected multiple 0-day exploits being used to attack on-premises versions of Microsoft Exchange Server in limited and targeted attacks. Microsoft Threat Intelligence Center (MSTIC) attributes this campaign with high confidence to HAFNIUM. https://t.co/tdsYGFICML
— Microsoft Security Intelligence (@MsftSecIntel) March 2, 2021
Come riporta Microsoft, l’exploit è stato rilevato da due società che si occupano di cybersecurity, la Volexity e la Dubex. Krebsonsecurity aggiunge che l’attacco che ha sfruttato le quattro falle di Exchange è partito il 6 gennaio 2021. Hafnium sarebbe ancora in azione e anzi starebbe cercando di sfruttare fino all’ultimo secondo utile per rubare email e dati dai client di posta elettronica colpiti. Per questo motivo, è fondamentale scaricare le patch quanto prima. Infine, Microsoft ha precisato che l’attacco di Hafnium “non è in alcun modo legato a SolarWinds. Non ci sono prove che gli attori malevoli dietro a SolarWinds si siano serviti di vulnerabilità nei prodotti Microsoft”.