HAFNIUM

HAFNIUM is de aanduiding die Microsoft heeft gegeven aan een nieuwe hackergroep waarvan wordt aangenomen dat deze in China is gevestigd en wordt gesteund door de Chinese overheid. De HAFNIUM-hackers tonen een hoog niveau van bekwaamheid en verfijning in hun kwaadwillende operaties. Het primaire doel van deze bedreigingsacteur was het exfiltreren van gevoelige gegevens van entiteiten in de Verenigde Staten. De beoogde slachtoffers zijn verspreid over meerdere bedrijfstakken en variëren van advocatenkantoren, onderwijsinstellingen en ziekteonderzoekers tot defensie-aannemers en ngo's (niet-gouvernementele organisaties). Ondanks dat het in China is gevestigd, heeft HAFNIUM geleasde VPS (Virtual Private Servers) in de Verenigde Staten opgenomen als onderdeel van hun kwaadaardige operaties.

De cyberbeveiligingsanalisten van Microsoft hielden de activiteit van HAFNIUM al geruime tijd in de gaten voordat ze besloten om hun bevindingen openbaar te maken in de nasleep van de laatste aanvalscampagne van de dreigingsacteur. HAFNIUM maakte gebruik van vier zero-day-kwetsbaarheden die de Exchange Server-software op locatie aantasten. De ontdekte kwetsbaarheden werden bijgehouden als CVE-2021-26855, CVE-2021-26857, CVE-2021-26858 en CVE-2021-27065, en vertegenwoordigden zo'n ernstig beveiligingslek dat Microsoft verschillende urgente updates uitbracht om het probleem aan te pakken.

De aanvalsketen van deze HAFNIUM-operatie omvat drie stappen. Ten eerste breken de hackers het doelwit door ofwel de vier zero-day exploits ofwel door toegang te hebben tot gestolen inloggegevens. Eenmaal binnen zouden ze een webshell maken waarmee de gecompromitteerde server op afstand kan worden bediend. In de laatste stap zou de bedreigingsacteur toegang krijgen tot e-mailaccounts en het offlineadresboek van Exchange downloaden dat verschillende informatie over de slachtofferorganisatie en zijn gebruikers bevat. De gekozen gegevens worden verzameld in archiefbestanden zoals .7z en .ZIP en vervolgens geëxfiltreerd. In eerdere campagnes heeft HAFNIUM de verzamelde informatie van hun slachtoffers vaak geüpload naar websites voor het delen van gegevens van derden, zoals MEGA.
De webshell maakt het ook mogelijk om extra malware-payloads op de beschadigde server te plaatsen, waardoor waarschijnlijk langdurige toegang tot het systeem van het slachtoffer wordt gegarandeerd.

Klanten die Exchange Server op locatie gebruiken, worden sterk aangemoedigd om de beveiligingsupdates van Microsoft te installeren en om de beveiligingsblog van het bedrijf te bekijken waar talloze IoC (Indicators of Compromise) zijn beschreven.

Nu informatie over de HAFNIUM-aanval openbaar werd, duurde het niet lang voordat andere hackergroepen dezelfde vier zero-day-kwetsbaarheden in hun eigen operaties begonnen te misbruiken. Slechts negen dagen na de onthulling van de exploits, ontdekte Microsoft dat een bedreigingsacteur begonnen is met het verspreiden van een nieuwe soort ransomware genaamd DearCry, wat aantoont hoe snel cybercriminelen zijn geworden in het aanpassen van hun infrastructuur om nieuw ontdekte beveiligingszwakheden op te nemen.