Новая атака на бизнес-ПО Microsoft превращается в глобальный кризис кибербезопасности, пишет Bloomberg. Судя по всему, высококвалифицированные хакеры сняли «сливки» с наиболее ценных целей, а сейчас атака перенаправлена на небольшие предприятия, которые не могут ее отразить.
Что известно об атаке
Каналом атаки, о которой стало широко известно 2 марта, стал популярный почтовый сервер Microsoft Exchange Server. Microsoft связывает ее с хакерской группировкой Hafnium со связями с властями Китая. Китай отвергает свою причастность к атаке.
По оценкам специалистов, опрошенных Bloomberg, скомпрометированы не менее 60 тысяч серверов по всему миру, хотя эта оценка может быть завышена. На завершающих стадиях атаки круг ее участников и целей расширился (вплоть до домов престарелых и производителя мороженого), а атакующие стали использовать автоматизированные скрипты.
До этого хакеры месяцами тихо эксплуатировали обнаруженную уязвимость для атаки на ценные цели, отмечает агентство. В их числе были правительственные и корпоративные сети.
Крупная атака последовала через несколько месяцев после кризиса кибербезопасности, вызванного хакерскими апдейтами системы безопасности корпоративного ПО SolarWinds. В США его однозначно связали с русскими хакерами, которым удалось таким образом проникнуть в девять федеральных агентств. Подробно об этом мы рассказывали здесь.
Что дальше
Новая атака продемонстрировала не только уязвимость корпоративных сетей, но и недостаток квалифицированных специалистов для ее отражения, пишет Bloomberg. Инструменты, срочно созданные Microsoft, способны диагностировать атаку и прикрыть уязвимость, но не могут автоматически удалить «спящих» хакеров из системы, если те туда уже проникли. Поэтому всем жертвам рекомендована детальная инспекция серверов и политик безопасности — что многие из них сделать не в силах.
Что касается хакеров, то для них настал этап обработки полученных данных, и не исключено, что в массивах украденных e-mail отыщутся ценные данные, которые позволят спланировать новые кибератаки.