当本周早些时候传出中国黑客正积极攻击微软Exchange服务器的消息时,网络安全界警告称,他们利用的零日漏洞可能让他们能够攻击世界各地的无数机构。现在已经很清楚了,他们只是入侵了很多电子邮件服务器。显然,这个名为铪的组织尽可能多地侵入了他们在全球互联网上能找到的受害者,留下了一些后门,以后再来找他们。
据了解此次黑客行动的知情人士向《连线》杂志透露,铪现在已经利用了微软Exchange服务器Outlook Web Access中的零日漏洞,不加区别地入侵了至少数万个电子邮件服务器。这些入侵最早是由安全公司Volexity发现的,早在1月6日就开始了,从上周五开始出现了明显的增长,本周早些时候出现了峰值。黑客似乎对微软周二发布的补丁做出了回应,加大了黑客攻击的力度,并实现了黑客攻击的自动化。一名参与调查的安全研究员在接受《连线》杂志采访时要求匿名,他说仅在美国就有3万多台Exchange服务器被黑客入侵,全球范围内有数十万台,显然都是由同一组织入侵的。独立网络安全记者布莱恩·克雷布斯(Brian Krebs)上周五援引向国家安全官员通报的消息人士的话说,这个数字为3万。
“这是巨大的。绝对是巨大的,”一位了解调查情况的前国家安全官员告诉《连线》杂志。“我们说的是全球每小时数千台服务器被入侵。”
“这是一个定时炸弹。”
史蒂文•阿代尔Volexity
在周五下午的新闻发布会上,白宫新闻秘书Jen Psaki警告所有运行受影响的Exchange服务器的人立即安装微软的漏洞补丁。“我们担心有大量的受害者,并正在与我们的合作伙伴合作,以了解这一范围,”普萨基在白宫新闻秘书罕见地评论特定的网络安全漏洞时说。“网络所有者也需要考虑他们是否已经被损害,并应立即采取适当的措施。”白宫的这一建议与美国网络安全与基础设施安全局(Cybersecurity and Infrastructure Security Agency,简称nsa)前局长克里斯•克雷布斯(Chris Krebs)周四晚间在推特上发出的一条建议相呼应。克雷布斯在推特上建议,任何拥有暴露在网络中的Exchange服务器的人,都要“承担妥协”,并开始采取事件应对措施,消除黑客的访问权限。
受影响的网络似乎是通过自动扫描不加区分地遭到黑客攻击的。受影响的网络可能包括中小型组织,而不是倾向于使用云电子邮件系统的大型企业。黑客在他们所利用的Exchange服务器上植入了一个“网络外壳”——一个远程可访问的、基于web的后门,允许他们对目标机器进行侦察,并有可能转移到网络上的其他计算机上。
Volexity创始人史蒂文•阿代尔(Steven Adair)表示,这意味着,在全球数十万被黑客攻击的服务器中,只有一小部分可能会成为中国黑客的积极目标。尽管如此,任何组织如果不努力清除黑客的后门,仍然会受到威胁,黑客可能会重新进入他们的网络,窃取数据或造成混乱,直到网络外壳被清除。“大量、大量的组织正在获得最初的立足点,”Adair说。“这是一个定时炸弹,可以在任何时间点对他们使用。”
一位参与调查的安全研究人员告诉《连线》杂志,尽管绝大多数入侵似乎只是由这些网络外壳构成,但这些全球范围内的“天文数字”规模的入侵是唯一令人不安的。受损的中小组织包括地方政府机构、警察、医院、新冠疫情应对、能源、交通、机场和监狱。“中国刚刚拥有了世界——或者至少拥有Outlook Web Access的所有国家,”研究员说。“上次有人这么大胆地打我是什么时候?”
事实上,就在去年12月,俄罗斯黑客入侵了18,000家组织使用的太阳风公司的IT管理工具。那次黑客行动成功地侵入了至少6个美国联邦机构。仅仅几个月后,铪交易所的黑客攻击活动就成为了该规模的第二次黑客攻击。
中国黑客对Exchange的大肆攻击似乎是几个月前才开始的,与之形成鲜明对比的是,俄罗斯的太阳风(SolarWinds)间谍活动已经沉寂了一年多。铪的受害者名单似乎更局限于中小型组织,而太阳风袭击了美国的大型政府机构。
但是,就像俄罗斯太阳风公司的黑客一样,调查人员还没有确定到底是谁是铪黑客——除了微软声称他们得到了政府的支持并在中国之外——或者确定他们动机的全部程度。这位前国家安全官员表示:“我不明白,对国家安全部来说,坚持成立一个地方政府机构的战略目标是什么。”国家安全部门是中国的国家安全部。“这是一个承包商还是一个代理组织?”是中国的网络犯罪集团吗?是中国的流氓演员操之过急了吗?”
虽然黑客活动的目的可能是在过滤间谍目标之前撒一张大网,但一位安全研究员在接受《连线》杂志采访时警告称,这可能会产生破坏性的影响。他说:“如果他们把勒索软件推到这个地步,我们将迎来有史以来最糟糕的一天。”
但研究人员指出,与太阳风事件不同的是,交易所黑客活动被发现的较早,或者至少在其广泛使用的早期。尽管清除黑客的数万次感染是一项艰巨的任务,但早期发现可能会给受害者一个机会,在黑客利用其在组织内部的立足点之前,修补他们的系统并清除黑客。“如果我们有机会阻止持续数月的太阳风规模的事件,我们难道不想采取行动吗?”研究人员问道。“现在,如果我们迅速采取行动,就有了这个机会。”
