Af Lars Bennetzen, Alt om Data
Denne artikel er oprindeligt bragt på Alt om Data. Computerworld overtog i november 2022 Alt om Data. Du kan læse mere om overtagelsen her.
Det store cyberangreb, der siden starten af året har været rettet mod Microsoft Exchange-servere over hele verden, har kun tabt ganske lidt moment. Godt nok er der ikke så mange nye servere, der bliver ramt, men det går stadig langsomt med at få patchet og ryddet op.
AOD PRO har talt med den danske it-sikkerhedsekspert og stifter af CSIS Group, Peter Kruse for at få en status på situationen – og ikke mindst for at høre, hvilke typer virksomheder der er blevet ramt af angrebet.
”Vi ser, at de virksomheder, der er blevet kompromitteret i den første del af dette angreb mod Microsoft Exchange, hovedsageligt er store og mellemstore, og de er formentligt blevet profileret forud for angrebet,” forklarer Peter Kruse.
Når de cyberkriminelle bruger så store ressourcer, som der uden tvivl er blevet brugt til dette, så er det også ganske naturligt at gå efter helt specifikke mål, for der skal være noget at komme efter.
I sidste uge fortalte Leif Jensen, sikkerhedsekspert hos ESET, til AOD PRO, at denne type angreb har været komplicerede at udvikle, for sårbarheder af den type, der lagde Exchange serverne ned, er ikke nogen man lige falder over.
Angreb i to faser
Men hvordan har hackerne rent faktisk kunne komme ind på de sårbare servere? Ifølge Peter Kruse har angrebet haft to faser.
”Den første fase er præget af høj målrettethed; det vil sige, at man nøje har udvalgt sig mål og misbrugt flere 0-dagssårbarheder i Microsoft Exchange for at tiltvinge sig adgang,” forklarer Peter Kruse.
I denne del af angrebet startede hackerne med at forbinde sig til en kendt Exchange-servers ip-nummer, og ved at udnytte sårbarheden kunne de lave en falsk godkendelse som standardbruger.
Herefter udnyttede de en anden sårbarhed, der gjorde, at de kunne give sig selv administrative privilegier. Når de først var kommet så langt, så kunne de udnytte de to sidste sårbarheder, og det betød, at de kunne uploade kode til serveren, lige hvor de måtte have lyst, og så var de inde.
3. marts frigav Microsoft så en hasteopdatering for at lukke disse fire sårbarheder.
”Disse blev samtidig knyttet til en APT-gruppe, der følger Microsofts normale navnekodex, hvor man opkalder APT-aktører efter grundstoffer, og det blev således til Hafnium,” fortæller Peter Kruse.
Men nu gik fase to af angrebet så i gang.
”Det var en noget større spredning i misbrug, og angrebene kom fra forskellige grupperinger, der aktivt misbruger en eller flere sårbarheder, for at kompromittere Microsoft Exchange-servere. Det er på det tidspunkt særligt ProxyLogon-sårbarheden, der misbruges, og det er samme exploit, der senere frigives i forskellige offentligt tilgængelige udgaver og også siden hen som modul til rammeværktøjet Metasploit. Fra det øjeblik spinner scanninger og misbrug ud af kontrol. Mange scanner vilkårligt og kompromitterer mål med henblik på at droppe ransomware, stjæle data og bruge serverne som minere,” forklarer Peter Kruse.
Færre der rammes
Fase to af angrebet er ved at ebbe ud globalt, og Peter Kruse kan fortælle, at vi i Danmark ser et støt faldende antal sårbare Exchange-servere, men at antallet af servere, som er kompromitterede og dermed ikke renset korrekt efter hændelsen, ikke falder nær så hurtigt.
”Det skyldes helt grundlæggende, at folk patcher deres systemer, men desværre ikke rydder op. Og det kan gå hen og blive et problem både på den korte og den længere bane. Flere og flere it-kriminelle gruppe scanner og jagter lige nu både sårbare og kompromitterede servere, så budskabet til de danske virksomheder, store som små, er at få patchet og ryddet op,” slutter Peter Kruse.