HAFNIUM

HAFNIUM to nazwa nadana przez Microsoft nowej grupie hakerów, która prawdopodobnie ma siedzibę w Chinach i jest wspierana przez chiński rząd. Hakerzy HAFNIUM wykazują wysoki poziom biegłości i wyrafinowania w swoich złośliwych operacjach. Głównym celem tego aktora zagrażającego była eksfiltracja wrażliwych danych od podmiotów w Stanach Zjednoczonych. Docelowe ofiary są rozproszone w wielu sektorach przemysłu i obejmują zarówno firmy prawnicze, instytucje edukacyjne, badaczy chorób, jak i wykonawców obrony i organizacje pozarządowe (organizacje pozarządowe). Pomimo swojej siedziby w Chinach, HAFNIUM włączył dzierżawione VPS (wirtualne serwery prywatne) w Stanach Zjednoczonych w ramach swoich złośliwych operacji.

Analitycy ds. Cyberbezpieczeństwa w firmie Microsoft już od dłuższego czasu monitorowali działalność HAFNIUM, zanim zdecydowali się upublicznić swoje ustalenia w następstwie ostatniej kampanii ataków przeprowadzonej przez podmiot zagrażający. HAFNIUM wykorzystał cztery luki typu „zero-day", które wpływały na lokalne oprogramowanie Exchange Server. Odkryte luki były śledzone jako CVE-2021-26855, CVE-2021-26857, CVE-2021-26858 i CVE-2021-27065 i stanowiły tak poważną lukę w zabezpieczeniach, że firma Microsoft wydała kilka pilnych aktualizacji rozwiązujących ten problem.

Łańcuch ataku tej operacji HAFNIUM obejmuje trzy kroki. Po pierwsze, hakerzy włamują się do celu poprzez cztery exploity zero-day lub dostęp do skradzionych danych uwierzytelniających. Po wejściu do środka utworzyliby powłokę internetową, która umożliwia zdalną kontrolę nad zaatakowanym serwerem. W ostatnim kroku osoba będąca zagrożeniem uzyska dostęp do kont e-mail i pobierze książkę adresową Exchange offline, która zawiera różne informacje o organizacji ofiary i jej użytkownikach. Wybrane dane byłyby gromadzone w plikach archiwalnych, takich jak .7z i .ZIP, a następnie eksfiltrowane. W poprzednich kampaniach HAFNIUM często umieszczał informacje zebrane od swoich ofiar na stronach internetowych stron trzecich służących do udostępniania danych, takich jak MEGA.
Powłoka internetowa umożliwia również zdeponowanie dodatkowych ładunków szkodliwego oprogramowania na serwerze, do którego doszło, co prawdopodobnie zapewni dłuższy dostęp do systemu ofiary.

Klienci korzystający z lokalnego programu Exchange Server są zdecydowanie zachęcani do zainstalowania aktualizacji zabezpieczeń wydanych przez firmę Microsoft i do odwiedzenia firmowego bloga poświęconego bezpieczeństwu, w którym szczegółowo opisano liczne IoC (wskaźniki naruszenia bezpieczeństwa).

Gdy informacja o ataku HAFNIUM została upubliczniona, inne grupy hakerów szybko zaczęły nadużywać tych samych czterech luk zero-day we własnych operacjach. Zaledwie dziewięć dni po ujawnieniu exploitów firma Microsoft wykryła, że osoba będąca zagrożeniem zaczęła rozprzestrzeniać nową odmianę oprogramowania ransomware o nazwie DearCry, pokazując, jak szybko cyberprzestępcy dostosowywali swoją infrastrukturę do nowo odkrytych słabości zabezpieczeń.