2月下旬,微软工程师已经为公司流行的Exchange电子邮件服务中的一些令人震惊的弱点进行了数周的研究。他们急于针对3月的第二个星期二发送修复程序,这是网络安全领域称为“星期二补丁”的每月惯例的一部分。
黑客们抢先了一步。经过数周谨慎的攻击后,黑客开始大量行动。结果是一场大规模的运动,在短短几天之内吞没了成千上万的组织。
出了点问题。通常这是一个平稳的过程(Microsoft经常使用该过程来识别和修复其流行软件中的弱点),如今已演变成一场全球网络安全危机,现在正引起白宫的注意。
研究人员总共发现了四个漏洞,并将它们归类为严重漏洞,这意味着黑客可以在看不见的情况下使用它们来窃取电子邮件和其他数据。
但是,在2月26日,这家软件巨头发布补丁程序之前,攻击者开始大规模渗透这些电子邮件系统-仿佛他们知道自己的机会之窗即将关闭,”网络安全策略执行副总裁Ryan Kalember说。电子邮件安全公司Proofpoint。
据两位知情人士透露,微软现在正在调查泄漏的可能性,该泄漏可能在补丁发布之前触发了这些大规模的Exchange入侵。消息人士未获授权就此事发表评论。他们说,如果确实发生了泄漏,则可能来自公司的安全部门或政府合作伙伴之一,或来自独立研究人员。他们说,泄漏可能是恶意的,也可能是单独的安全漏洞的一部分。
微软发言人拒绝对此调查发表评论。
微软在3月2日提前一周发布补丁程序时,它保护了一些客户端,但随着越来越多的黑客涌入,它还充当了攻击的促进剂。在他们争先恐后地闯入网络之前,黑客不仅破坏了全球的银行和政府,还破坏了学校,医院,制造商和区域性酒店连锁店。
微软现在正在调查泄漏的可能性,该泄漏可能在其补丁程序发布之前触发了这些大规模的Exchange入侵。
网络安全公司Eset在最近的一篇博文中说,攻击Exchange服务器的网络间谍团伙的数量现在至少达到10个,到上周末,全球至少有60,000的黑客攻击受害者,美国前一位官员说。了解调查情况。据安全研究人员称,由于该漏洞已在犯罪黑客圈中广泛分发,因此攻击者的数量可能会大大增加。
美国国家安全委员会发言人在一封电子邮件中说:“总统得到了简报,并正在密切关注这一问题。”“白宫正在与我们的公共和私人合作伙伴全天候工作,使国会保持最新状态,评估其影响并确定我们需要采取的下一步措施。”
黑客一直在寻找软件中的关键缺陷,即零时差,因为它们可以被用来从用户那里窃取数据。软件使用的范围越广,对缺陷的了解就越有价值。
尽管许多政府和大公司已经迁移到了更现代的系统,但是Microsoft Exchange仍被全球成千上万的客户使用。
从1月初到2月初的某个时间,该公司似乎已经了解到其Exchange电子邮件软件中的缺陷。
Devcore说,一家位于台湾的网络研究公司Devdev于1月5日首先向微软发出警报。总部位于弗吉尼亚州的网络安全公司Volexity和以发现此类漏洞而闻名的研究人员-特意用一个隐秘的名字称其为橙色的蔡(Orange Tsai)-说,他们提醒该公司注意1月至2月初之间的零时差。微软通常需要花费几周的时间来创建更安全版本的流行软件,并且该公司致力于在此期间保持对所有漏洞的广泛了解。
大大跳
一位熟悉该程序的前美国官员说,美国政府中的一些机构通常会事先得到通知,包括美国国家安全局和美国国土安全部。世界各地的82家网络安全公司也是如此,这些活动通过Microsoft Active Protections计划(或称为Mapp)得到了预先通知。原因很简单。微软发布补丁后,全世界的黑客都在竞相寻找解决的基本弱点,然后尝试对更新设备缓慢的公司进行黑客攻击。
Mapp成员包括阿里巴巴和百度等中国公司,尽管并不是每个零日提前通知每个成员。网络安全公司DomainTools的高级安全研究员Joe Slowik说:“每个供应商和每个事件的发生率都很高。”
据跟踪该活动的几家公司称,在微软计划发布有缺陷的电子邮件软件的修补程序的大约10天之前,被黑客入侵的Exchange客户数量突然急剧增加。从2月28日开始,Eset使用Exchange零时差观察了五个新的网络间谍活动组-安全研究人员将这些组昵称为“ Tick”,“ Lucky Mouse”,“ Calypso”,“ Websiic”和“ Winnti”。除此之外,微软将高级黑客组织认定为Hafnium,该组织已经使用了几个月的漏洞。
北京在3月3日将微软对罪名的指控描述为“毫无根据的指控”,并呼吁提供证据来支持它。
私营部门
Lucky Mouse利用该漏洞破坏了中东的一个政府组织,而Calypso利用Microsoft Exchange闯入了中东和南美的政府目标。Eset说,除了亚洲的私人公司外,Websiic还针对东欧的一个政府组织。
黑客还袭击了私营公司。根据Eset的说法,Tick损害了东亚一家信息技术公司的服务器。Winnti利用该漏洞在东亚的一家石油天然气公司和建筑设备公司窃取电子邮件,在补丁发布后的数小时内达到了两个目标。
这次黑客攻击是在发现俄罗斯全面的攻击后仅三个月,该攻击将恶意软件下载到位于德克萨斯州的软件公司SolarWinds的多达18,000个客户的计算机上。
网络安全专家和前政府官员担心这些事件表明,再次有眼光的政府黑客正转向大规模入侵活动,从而对其造成严重破坏。
与最终以高价值政府和技术网络为目标的SolarWinds黑客不同,Microsoft Exchange的受害者包括许多具有本地政府网络的中小型企业。前美国空军旅长,现任Arete顾问兼首席网络策略师的吉姆·杰格说,在两次黑客攻击之间,攻击者已经使受害者脱离了互联网上的大量网络。
大多数袭击受害者的身份仍然未知。挪威议会宣布它是Microsoft Exchange活动的一部分,遭到黑客攻击,并表示数据已经丢失。欧洲银行管理局(European Banking Authority)表示,它也是受害者,但尚未找到证据证明黑客窃取了机密。
同时,许多Microsoft客户仍然处于危险之中。总部位于波士顿的网络安全公司BitSight Technologies上周表示,对互联网进行的扫描显示,尽管有FBI和国土安全部门的紧急要求,近三分之一的易受攻击的Microsoft Exchange客户尚未对其系统进行修补。
Proofpoint的Kalember专门研究电子邮件安全,他说,最近几周已经表明,微软补丁程序崩溃可能造成的后果是多么严重。
他说:“许多坏错误本应仍是微软的秘密和内部秘密。”“显然不是。”