Microsoft проверяет, сыграла ли утечка роль в предполагаемом взломе китайцев

Microsoft Corp.

MSFT -0,58%

расследует, могли ли хакеры, стоящие за всемирной кибератакой, получить конфиденциальную информацию, необходимую для запуска атаки, путем раскрытия конфиденциальной информации, сделанной с некоторыми из своих партнеров по безопасности, по словам людей, знакомых с этим вопросом.

Частично расследование сосредоточено на вопросе о том, как скрытая атака, начавшаяся в начале января, набрала обороты за неделю до того, как компания смогла отправить клиентам исправление программного обеспечения. За это время горстка хакерских групп, связанных с Китаем, получила инструменты, которые позволили им проводить широкомасштабные кибератаки, от которых теперь были заражены компьютеры по всему миру, на которых установлено почтовое программное обеспечение Microsoft Exchange.

Исследователи сосредоточили свое внимание на том, не допустил ли партнер Microsoft, с которым компания поделился информацией о багах, которые использовали хакеры, утечку ее другим группам, непреднамеренно или намеренно, сказали люди.

Некоторые инструменты, использованные во второй волне атаки, которая, как полагают, началась 28 февраля, имеют сходство с кодом атаки «доказательство концепции», который Microsoft разослала антивирусным компаниям и другим партнерам по безопасности 23 февраля. в охранных компаниях говорят. Microsoft планировала выпустить свои исправления безопасности через две недели, 9 марта, но после начала второй волны, по словам исследователей, она выпустила исправления на неделю раньше, 2 марта.

Microsoft и другие компании пересматривают программу обмена информацией под названием Microsoft Active Protections Program (Mapp), которая была создана в 2008 году, чтобы дать компаниям безопасности преимущество в обнаружении возникающих угроз. В состав Mapp входят около 80 охранных компаний по всему миру, около 10 из которых находятся в Китае. Согласно источникам, знакомым с программой, подгруппе партнеров Mapp 23 февраля было отправлено уведомление Microsoft, в котором содержался проверочный код. Представитель Microsoft отказался сообщить, были ли включены в этот выпуск какие-либо китайские компании.

То, как хакеры получили инструменты, важно для Microsoft и других, пытающихся оценить ущерб от исторически крупной кибератаки, которая позволила другим хакерским группам использовать уязвимости в своих целях. На этой неделе Microsoft заявила, что обнаружила программы-вымогатели или вредоносные программы, которые блокируют компьютеры своих жертв до тех пор, пока они не заплатят хакерам, и используются для нацеливания на сети, которые еще не были исправлены. Поскольку многие из целевых организаций являются малыми предприятиями, школами и местными органами власти, эксперты по безопасности заявили, что они могут быть особенно подвержены изнурительным атакам.

За последнюю неделю высокопоставленные представители администрации Байдена ужасно описали проблему, призывая организации немедленно исправлять свои системы. В настоящее время не известно ни о каких федеральных системах, которые были скомпрометированы, хотя официальные лица все еще исследуют возможные уязвимости агентств. Пресс-секретарь Совета национальной безопасности сообщила, что президент Байден был проинформирован о взломе, и администрация создала межведомственную координационную группу по кибербезопасности, специализирующуюся на взломе.

Представитель Microsoft сказал, что компания не видит «никаких признаков» утечки внутри компании. По его словам, люди, с которыми он поделился информацией о безопасности в феврале, известные как Mapp Validate Partners, являются давними партнерами, у которых есть все возможности для тестирования и обнаружения уязвимостей.

Представитель заявил, что злоупотребление партнерством Mapp будет иметь последствия. «Если выяснится, что партнер Mapp стал источником утечки, они столкнутся с последствиями за нарушение условий участия в программе», – сказал он по электронной почте.

В 2012 году Microsoft исключила китайскую компанию Hangzhou DPTech Technologies Co., Ltd из Mapp после того, как обнаружила утечку кода, подтверждающего концепцию, который может быть использован в атаке, и этот код появился на китайском веб-сайте.

Хотя расследование Microsoft не привело к выводам, следователи изучают, могла ли информация, содержащаяся в уведомлении от 23 февраля, адресованном избранной группе охранных компаний, добраться до злоумышленников, сообщили источники.

Уведомление от 23 февраля содержало технические подробности о не исправленных недостатках в Exchange, а также образец «подтверждения концепции», который может быть использован для атаки на эти системы.

Microsoft опубликовала информационные сообщения за несколько недель до патча для Mapp Validate Partners 23 февраля, заявив, что, согласно источникам, знакомым с сообщениями Mapp, она планирует исправить ошибки Exchange через две недели, 9 марта.

Но через четыре дня после этого уведомления – 27 февраля – хакеры, связанные с Китаем, начали сканировать Интернет в поисках серверов, содержащих уязвимости Exchange. По данным компании ESET, начиная с 28 февраля, четыре отдельные хакерские группы начали широкомасштабную атаку. Другие охранные фирмы связали эти группы с Китаем, который заявил, что «противостоит кибератакам и кибер-кражам во всех формах и борется с ними».

«Это говорит о том, что несколько злоумышленников получили доступ к деталям уязвимостей до выпуска исправления», – говорится в сообщении ESET в среду.

Кибератака Exchange может дать хакерам возможность на долгие годы закрепиться в этих организациях. Поскольку компании и другие организации изо всех сил пытаются применить исправления Microsoft, новые злоумышленники начали использовать эти ошибки. В четверг, после того, как код эксплойта был размещен в Интернете, новое семейство программ-вымогателей под названием DearCry начало появляться на серверах Exchange. Microsoft сообщила в своем сообщении в Twitter..

Исследователи безопасности продолжают изучать, каким образом первоначальная группа предполагаемых китайских хакеров, похоже, воспользовалась ошибками более чем за месяц до объявления Microsoft Mapp. По заявлению Microsoft, эта группа, известная как Hafnium, является высокоразвитой китайской группой, которая провела небольшое количество целевых кибератак, пытаясь украсть информацию у исследователей инфекционных заболеваний, юридических фирм и образовательных учреждений.

Исследователи говорят, что Гафний мог поделиться своими знаниями с другими группами, а мог и не поделиться ими.

Неясно, как Hafnium узнал об инциденте, говорят следователи, добавляя, что, возможно, он сам обнаружил ошибки или, возможно, узнал о них от охранной компании, которая их нашла.

«Исследователи безопасности явно являются целью кибершпионажа, которые, вероятно, нацелены на них, чтобы расширить свои собственные возможности», – сказал Джон Халтквист, директор по анализу разведывательных данных компании FireEye Inc., занимающейся кибербезопасностью.

Одна из охранных компаний, обнаружившая их в декабре, – это Devcore, тайваньская компания, которая специализируется на оценке безопасности «красной командой», когда ее сотрудники имитируют кибератаку на клиентов, чтобы проверить их защиту.

Devcore сообщил об ошибках в Microsoft 5 января, сказал Боуэн Хсу, менеджер проекта компании. По данным охранной компании Volexity, это произошло через два дня после первой известной китайской кибератаки. Г-н Сю сказал, что Devcore не знает, когда началась атака и кто атакующий.

Также возможно, говорят исследователи, что Devcore могла быть взломана или могла непреднамеренно предоставить детали атаки китайцам во время одного из своих мероприятий по обеспечению безопасности.

Когда он узнал, что обнаруженные им недостатки Exchange использовались хакерами, Devcore начал внутреннее расследование, сказал г-н Сюй. По его словам, в ходе расследования не было выявлено никаких опасений.

Основанная в 2012 году, Devcore имеет репутацию нанимающего высококлассных тайваньских хакеров, в том числе уважаемого хакера по имени Орандж Цай, который обнаружил недостатки Exchange. В 2019 году г-н Цай получил премию Pwnie – эквивалент хакерского Оскара – за ошибку, которую он обнаружил в программном обеспечении серверов виртуальной частной сети.

В тот день, когда Devcore сообщил о своих выводах в Microsoft в январе, г-н Цай написал в Twitter, что обнаруженная им ошибка «может быть самой серьезной… из всех, о которых я когда-либо сообщал». Затем он добавил, что надеется, что никто не дублировал его работу.

Написать в Роберт Макмиллан, Robert.Mcmillan@wsj.com и Дастин Волц, dustin.volz@wsj.com

© 2020 Dow Jones & Company, Inc. Все права защищены. 87990cbe856818d5eddac44c7b1cdeb8

By admin

Leave a Reply

Your email address will not be published. Required fields are marked *