Microsoft Exchange hackerato da Hafnium: rubate email dalla Cina

Hafnium hackera Microsoft Exchange, rubando email da enti americani di diversi settori chiave. Gli esperti credono che si tratti di un gruppo che lavora per il governo cinese.

Hafnium cybersecurity
Microsoft, cybersecurity violata ancora (image by Markus Spiske on unsplash.com)

Microsoft ancora sotto attacco hacker, e il mandante sarebbe il governo cinese. Stavolta a essere preso di mira è stato Microsoft, server di posta elettronica che lavora spesso – ma non solo – in connessione con Outlook sul lato cliente, e che è molto utilizzato da organizzazioni professionali. Gli sviluppatori del colosso di Redmond hanno già rilasciato le patch necessarie a risolvere le quattro vulnerabilità riscontrate, sottolineando l’importanza di eseguire l’aggiornamento al più presto possibile su Microsoft Exchange Server versioni 2013, 2016 e 2019.

L’obiettivo di Hafnium, così è stato ribattezzato il gruppo dal Microsoft Threat Intelligence Center (MSTIC), è rubare email da società americane legate a settori chiave come la sanità, i centri di ricerca sulle malattie infettive, la difesa, i grandi studi legali, i centri di ricerca strategici, il mondo accademico e organizzazioni non governative. Un bel po’ di informazioni sensibili, insomma. Hafnium, aggiunge il dipartimento sicurezza di Microsoft, opera dalla Cina e conta su cyber criminali “sofisticati e altamente specializzati”, che hanno condotto l’attacco in tre atti, se così si può dire. Vediamo quali.

Hafnium, attacco in tre atti per rubare la posta elettronica di società e organizzazioni

Hafnium MS Exchange LOGO
Microsoft exchange server (image from twitter.com/MSFTExchange)

LEGGI ANCHE—>Database di profili Facebook su un forum di hacker, che rischio si corre

Sebbene l’exploit sia stato portato avanti da remoto, Hafnium si è avvalso di alcuni virtual private servers (VPS) su territorio statunitense. Oltre a utilizzare delle zero-day, gli hacker cinesi hanno avuto accesso a Microsoft Exchange anche tramite credenziali rubate. Una volta dentro, hanno creato una web shell, ossia un’interfaccia malevola che abilita il controllo da remoto del server. Quindi è scattata l’attività di spionaggio industriale vera e propria, che consisteva nel furto di email dalle reti delle società e delle istituzioni prese di mira.

TI POTREBBE INTERESSARE>>>NASA, un vecchio PowerPC G3 guida il rover Perseverance sul suolo marziano

Come riporta Microsoft, l’exploit è stato rilevato da due società che si occupano di cybersecurity, la Volexity e la Dubex. Krebsonsecurity aggiunge che l’attacco che ha sfruttato le quattro falle di Exchange è partito il 6 gennaio 2021. Hafnium sarebbe ancora in azione e anzi starebbe cercando di sfruttare fino all’ultimo secondo utile per rubare email e dati dai client di posta elettronica colpiti. Per questo motivo, è fondamentale scaricare le patch quanto prima. Infine, Microsoft ha precisato che l’attacco di Hafnium “non è in alcun modo legato a SolarWinds. Non ci sono prove che gli attori malevoli dietro a SolarWinds si siano serviti di vulnerabilità nei prodotti Microsoft”.

Impostazioni privacy