HAFNIUM

HAFNIUM er betegnelsen fra Microsoft til en ny hackergruppe, der menes at være placeret i Kina og støttet af den kinesiske regering. HAFNIUM-hackerne viser høje niveauer af dygtighed og sofistikering i deres ondsindede operationer. Det primære mål for denne trusselsaktør har været exfiltrering af følsomme data fra enheder i USA. De målrettede ofre er spredt over flere brancher og spænder fra advokatfirmaer, uddannelsesinstitutioner og sygdomsforskere til forsvarskontrahenter og ngo'er (ikke-statslige organisationer). Trods at være baseret i Kina, har HAFNIUM inkorporeret lejede VPS (Virtual Private Servers) i USA som en del af deres ondsindede operationer.

Cybersikkerhedsanalytikerne hos Microsoft havde allerede overvåget HAFNIUMs aktivitet i nogen tid, før de besluttede at offentliggøre deres fund i kølvandet på den seneste angrebskampagne, der blev udført af trusselsaktøren. HAFNIUM udnyttede fire nul-dags sårbarheder, der påvirkede den lokale Exchange Server-software. De opdagede sårbarheder blev sporet som CVE-2021-26855, CVE-2021-26857, CVE-2021-26858 og CVE-2021-27065 og repræsenterede en så alvorlig sikkerhedssvaghed, at Microsoft frigav flere presserende opdateringer, der adresserede problemet.

Angrebskæden i denne HAFNIUM-operation inkluderer tre trin. For det første bryder hackerne målet enten gennem de fire nul-dages udnyttelser eller ved at have adgang til stjålne legitimationsoplysninger. Når de var inde, ville de oprette en web-shell, der tillader fjernbetjening over den kompromitterede server. I det sidste trin ville trusselsaktøren få adgang til e-mail-konti og downloade Exchange offline adressebog, der indeholder forskellige oplysninger om offerorganisationen og dens brugere. De valgte data ville blive samlet i arkivfiler som .7z og .ZIP og derefter exfiltreret. I tidligere kampagner har HAFNIUM ofte uploadet de oplysninger, der er indsamlet fra deres ofre, til tredjepartswebsteder til datadeling såsom MEGA.
Webskallen giver også mulighed for at deponere yderligere malware-nyttelast på den overtrådte server, hvilket sandsynligvis vil sikre langvarig adgang til offerets system.

Kunder, der bruger lokal Exchange-server, opfordres kraftigt til at installere sikkerhedsopdateringer frigivet af Microsoft og til at tjekke virksomhedens sikkerhedsblog, hvor mange IoC (Indicators of Compromise) er blevet detaljeret.

Da oplysninger om HAFNIUM-angrebet blev offentligt, tog det ikke lang tid før andre hackergrupper begyndte at misbruge de samme fire nul-dags sårbarheder i deres egne operationer. På kun ni dage efter afsløringen af bedrifterne opdagede Microsoft, at en trusselsaktør er begyndt at sprede en ny stamme af ransomware kaldet DearCry, hvilket viser, hvor hurtigt cyberkriminelle er blevet ved at tilpasse deres infrastruktur til at inkorporere nyopdagede sikkerhedssvagheder.