Microsoft afferma di avere prove che un gruppo di cybercriminali cinese denominato “Hafnium”, ha attaccato i server Microsoft Exchange statunitensi, tipicamente impiegati per gestire la posta elettronica di aziende, istituti di istruzione e altre organizzazioni.
La notizia arriva dopo ulteriori ricerche nell’ambito delle conferme da parte Dipartimento del Commercio USA e ldela a U.S. Energy Information Administration, presi di mira e spiati da cyber criminali che avrebbero operato per conto di un governo straniero, sfruttando vulnerabilità negli account di Microsoft Office.
Microsoft ha ora divulgato dettagli su una differente metodologia di attacco ai loro sistemi, portata a termine da un gruppo che l’azienda ha denominato “Hafnium” e composta da elementi che la multinazionale di Redmond definisce in grado di sfruttare tecniche che richiedono «Elevate specializzazioni» e meccanismi «Ricercati».
«Condividiamo le informazioni su un attore malevolo sponsorizzato da uno stato identificato dal Microsoft Threat Intelligence Center (MSTIC) e che abbiamo denominato Hafnium», riporta Microsoft nel blog aziendale. «Hafnium opera dalla Cina, ed è la prima volta che parliamo di tali attività. Si tratta di un attore altamente qualificato con capacità ricercate».
Il gruppo di cybercriminali in questione avrebbe già lasciato il segno in numerosi ambiti di ricerca, inclusi “laboratori di ricerca sulle malattie infettive, studi legali, istituti di istruzione superiore, appaltatori della Difesa, gruppi politici e ONG. Per quanto riguarda gli account Exchange, gli utenti degli indirizzi interessati hanno subito un furto di dati sfruttando uno script malevolo, pilotato da server localizzati negli USA.
Tom Burt, Vice Presidente del dipartimento di Customer Security di Microsoft, ha dichiarato «Anche se abbiamo lavorato rapidamente per distribuire un update per gli exploit di Hafnium, sappiamo che vari gruppi criminali si muoveranno rapidamente per sfruttare il vantaggio di eventuali sistemi privi di patch», invitando all’applicazione tempestiva delle patch, da poco rilasciate, indicate come «La migliore protezione contro questo attacco».
Microsost ha segnalato un totale di quattro vulnerabilità 0-day nei server Microsoft Exchange, installati on-premises presso le organizzazioni che espongono su internet l’interfaccia WebMail e/o solo il servizio di posta. Se utilizzate in modo concatenato, le vulnerabilità in questione potrebbero consentire agli attaccanti di accedere agli account di posta e di installare malware per ottenere la persistenza sui sistemi colpiti.
I sistemi vulnerabili, sono: Microsoft Exchange Server 2013, Microsoft Exchange Server 2016 e Microsoft Exchange Server 2019. L’azienda consiglia l’installazione delle patch rilasciate e di innalzare il livello di monitoraggio delle proprie infrastrutture.
Per tutte le notizie sulla sicurezza informatica vi rimandiamo a questa sezione di macitynet.
