网络安全响应者估计,全球范围内的Microsoft电子邮件服务器软件遭到大规模黑客攻击的受害者周一急忙提供支持,以支撑受感染的系统,并试图减少入侵者窃取数据或破坏其网络的机会。
白宫称这次黑客攻击为“主动威胁”,并表示国家安全高级官员正在对此进行处理。
该漏洞是在一月初被发现的,原因是中国针对美国政策智囊团的网络间谍。然后在2月下旬,也就是Microsoft在3月2日发布补丁程序的前五天,其他入侵者激增了渗透,piggy带了最初的漏洞。受害者经营着运行电子邮件服务器的组织,从妈妈和流行零售商到律师事务所,市政府,医疗保健提供商和制造商。
虽然这次黑客攻击并没有像拜登政府将其复杂的SolarWinds竞选活动归咎于俄罗斯情报人员那样,但对国家安全构成威胁,但对于没有及时安装补丁的受害者而言,这可能是一个生存威胁。黑客在他们的系统中徘徊。这次黑客攻击给白宫带来了新的挑战,尽管白宫准备应对SolarWinds的入侵,但现在必须努力应对来自中国的巨大而截然不同的威胁。
网络安全公司CrowdStrike的前首席技术官德米特里·阿尔佩罗维奇(Dmitri Alperovitch)说:“我说这是一个严重的经济安全威胁,因为这么多的小公司实际上可能会通过针对性的勒索软件攻击而破坏其业务。”
他指责中国为2月26日开始的全球性感染浪潮,尽管其他研究人员表示,现在对将其归因于现在还为时过早。Alperovitch说,这些黑客如何规避最初的漏洞是一个谜,因为除少数研究人员外,没人知道这一点。
补丁发布之后,第三波感染浪潮开始了,在这种情况下通常会堆积如山,因为微软主导着软件市场,并提供了单点攻击。
网络安全分析师试图对黑客事件进行全面整理,他说,他们的分析与网络安全博客作者布莱恩·克雷布斯(Brian Krebs)上周五公布的3万名美国受害者的数字一致。Alperovitch说,据估计大约有25万全球受害者。
微软拒绝透露它相信有多少客户受到感染。
网络安全公司TrustedSec的首席执行官大卫·肯尼迪(David Kennedy)表示,成千上万的组织可能容易受到黑客攻击。
他说:“任何安装了Exchange的人都可能容易受到攻击。” “不是每个人,而是其中很大一部分。”
网络安全公司Red Canary的情报总监Katie Nickels警告说,安装补丁不足以保护已经感染的补丁。她说:“如果您今天进行补丁,这将保护您的前进,但是如果对手已经在系统中,那么您就必须加以照顾。”
研究人员说,少数组织的最初目标是黑客入侵,他们抢夺数据,窃取凭据或在网络内部进行探索,并在大学,国防承包商,律师事务所和传染病研究中心留下后门。肯尼迪一直与之合作的制造商担心知识产权盗窃,医院,金融机构以及托管多个公司网络的托管服务提供商。
肯尼迪说:“从1到10的比例,这是20。” “从本质上讲,这是开设任何安装了此Microsoft产品的公司的万能钥匙。”
在接受评论时,中国驻华盛顿大使馆指出外交部发言人王文彬上周的讲话说,中国“坚决反对并打击一切形式的网络攻击和网络盗窃”,并警告说网络攻击的归因应基于证据,而不应基于证据。 “毫无根据的指责。”
该黑客行为并未影响到财富500强公司和其他能够提供高质量安全性的组织所青睐的基于云的Microsoft 365电子邮件和协作系统。这凸显了业界中某些人对两个计算类别的悲叹–安全性“具有”和“无”。
Mandiant的分析主管Ben Read说,这家网络安全公司还没有看到有人利用黑客攻击来获取经济利益,“但对于那些受时间影响的人们来说,解决这一问题至关重要。”
对于许多受害者而言,这说起来容易做起来难。许多人拥有精简的IT员工,无力承担紧急的网络安全响应-更不用说大流行的复杂性了。
解决问题并不像单击计算机屏幕上的更新按钮那样简单。它需要升级组织的整个所谓的“ Active Directory”,该目录对电子邮件用户及其各自的特权进行分类。
“关闭电子邮件服务器绝非易事,”非营利组织Silverado Policy Accelerator智囊团主席Alperovitch说。
Attivo Networks的Tony Cole表示,大量潜在受害者为民族国家的黑客创建了一个完美的“烟幕”,可以通过捆绑已经过度紧张的网络安全官员来隐藏一小部分目标目标。“没有足够的事件响应团队来处理所有这一切。”
许多专家对小组在Microsoft补丁程序发布之前匆忙感染服务器安装的方式感到惊讶和困惑。TrustedSec的Kennedy说,微软花了很长时间才发布补丁,尽管他认为在补丁准备好之前它不应该通知人们有关补丁的信息。
网络安全公司Volexity的Steven Adair向微软发出了最初的入侵通知,描述了“大规模,不加选择的利用”,该利用始于补丁发布的周末,包括来自“许多不同国家(包括犯罪分子)的组织”。
网络安全基础设施和安全局上周三发布了有关黑客攻击的紧急警报,国家安全顾问杰克·沙利文(Jake Sullivan)周四晚上在推特上发布了此消息。