Uma campanha de hackers ligada ao governo chinês revelada pela Microsoft no início de março aumentou rapidamente. Pelo menos quatro outros grupos de hackers distintos estão a atacar falhas críticas no software de e-mail da Microsoft numa campanha cibernética que o governo dos Estados Unidos descreve como “ampla exploração doméstica e internacional” com o potencial de impactar centenas de milhares de vítimas em todo o mundo.
A partir de janeiro deste ano, hackers chineses conhecidos como Hafnium começaram a explorar vulnerabilidades nos servidores Microsoft Exchange. Mas desde que a empresa revelou publicamente a campanha, mais quatro grupos se juntaram, e os hackers chineses originais abandonaram a pretensão de furtividade e aumentaram o número de ataques que estão a realizar. A lista crescente de vítimas inclui dezenas de milhares de empresas e escritórios do governo dos EUA visados pelos novos grupos.
“Existem pelo menos cinco grupos diferentes em atividade que parecem estar a explorar as vulnerabilidades”, diz Katie Nickels, que lidera uma equipa de inteligência da empresa de segurança cibernética Red Canary que está a investigar os hackers. Ao rastrear ameaças cibernéticas, os analistas de inteligência agrupam grupos de atividades de hacking pelas técnicas, táticas, procedimentos, máquinas, pessoas e outras características específicas que observam. É uma forma de rastrear as ameaças que enfrentam.
Hafnium é um sofisticado grupo de hackers chinês que realiza campanhas de espionagem cibernética contra os Estados Unidos, de acordo com a Microsoft. São um superpredador – exatamente o tipo que sempre é seguido de perto por “abutres” oportunistas e espertos.
A atividade rapidamente acelerou assim que a Microsoft fez o seu anúncio no início de março. Mas exatamente quem são esses grupos de hackers, o que querem e como estão a aceder a esses servidores ainda não é claro. É possível que o grupo Hafnium original tenha vendido ou partilhado o seu código exploit (um código que permite que um hacker aproveite uma vulnerabilidade) ou que outros hackers tenham utilizado engenharia reversa nos exploits com base nas correções que a Microsoft lançou, explica Nickels.
“O desafio é que tudo isso é muito obscuro e há muitas sobreposições”, diz Nickels. “O que vimos é que, desde que a Microsoft publicou sobre o Hafnium, este expandiu-se para além do Hafnium. Vimos atividades que parecem diferentes tanto no sentido de táticas e técnicas quanto de procedimentos do que relataram”.
Ao explorar vulnerabilidades em servidores Microsoft Exchange, que as organizações usam para operar os seus próprios serviços de e-mail, os hackers podem criar um web shell — uma ferramenta de hacking acessível remotamente que permite facilmente o acesso backdoor e controlo da máquina infectada — e controlar o servidor comprometido pela Internet e, em seguida, roubar dados de toda a rede do seu destino. O web shell significa que, embora a Microsoft tenha lançado correções para as falhas — que apenas 10% dos clientes do Exchange aplicaram até o início de março, de acordo com a empresa — o hacker ainda tem acesso ao backdoor dos seus alvos.
Aplicar as correções de software da Microsoft é um primeiro passo crucial, mas o esforço total de limpeza do sistema será muito mais complicado para muitas vítimas em potencial, especialmente quando os hackers movem-se livremente para outros sistemas na rede.
“Estamos a trabalhar em estreita colaboração com a CISA [Cybersecurity and Infrastructure Security Agency], outras agências governamentais e empresas de segurança, para garantir que estamos a fornecer a melhor assessoria e mitigação possível para os nossos clientes”, disse um porta-voz da Microsoft. “A melhor proteção é aplicar atualizações o mais rápido possível em todos os sistemas afetados. Continuamos a ajudar os clientes, fornecendo investigação adicional e orientação de mitigação. Os clientes afetados devem entrar em contacto com as nossas equipas de suporte para obter ajuda e recursos adicionais”.
Com vários grupos agora atacando as vulnerabilidades, espera-se que os hacks afetem desproporcionalmente as organizações que menos podem se dar ao luxo de se defender deles, como pequenas empresas, escolas e governos locais, disse o ex-oficial de segurança cibernética dos EUA, Chris Krebs.
“Porquê?” Krebs perguntou no Twitter. “Isso é uma demonstração de força logo nos primeiros dias do presidente Biden para testar a sua determinação? É uma gangue de crimes cibernéticos fora de controlo? Os empreiteiros enlouqueceram?”
Com potencialmente centenas de milhares de vítimas em todo o mundo, esta campanha de hacking do Exchange afetou mais alvos do que o ataque hacker a SolarWinds que o governo dos EUA está a lutar para arrumar. Mas, como com esse episódio, os números não são tudo: os hackers russos por trás do episódio na empresa SolarWinds eram altamente disciplinados e perseguiam alvos específicos de alto valor, embora tivessem acesso potencial a muitos milhares.
O mesmo se aplica aqui. Mesmo que os números totais sejam alarmantes, nem todos são catastróficos. “ [Os ataques] não todos são iguais”, diz Nickels. “Existem servidores Exchange vulneráveis onde a porta [dos códigos] está aberta, mas não sabemos se um inimigo passou por esta. Existem servidores ligeiramente comprometidos; talvez um web shell seja descartado, mas nada além disso. Depois, há a outra extremidade do espectro, onde os hackers tiveram atividades subsequentes e mudaram para outros sistemas”.
É raro a Casa Branca comentar sobre questões de cibersegurança, mas o governo Biden teve motivos para falar muito sobre hackers nos seus primeiros dois meses de mandato, entre o ataque a SolarWinds e este último incidente. “Estamos preocupados com o grande número de vítimas e estamos a trabalhar com os nossos parceiros para entender o alcance disso”, disse a secretária de imprensa da Casa Branca, Jen Psaki, durante uma entrevista coletiva no início do mês. “Os proprietários de rede também precisam considerar se já foram comprometidos e devem tomar as medidas adequadas imediatamente”.
MIT Technology Review