Глава FireEye сравнил атаки на Microsoft Exchange с обстрелом из пулемета
ИБ-эксперты уже обвинили в массовых атаках на Microsoft Exchange китайских хакеров. Однако теперь, похоже, Китай развернул вторую волну нехарактерных для него неизбирательных, автоматизированных кибератак, которые открывают путь для вымогательского и другого вредоносного ПО.
Как сообщил исполнительный директор ИБ-компании FireEye Кевин Мандиа (Kevin Mandia), начавшаяся 26 февраля вторая волна кибератак существенно отличается от того, чем до недавнего времени обычно занимались китайские кибершпионы, и свидетельствует о том, что китайцы расширили свои кибератаки за пределы шпионских операций. Если во время первой волны в январе нынешнего года они тщательно выбирали своих жертв, то вторая волна носит массовый, неизбирательный характер.
«Очень не хотелось бы, чтобы современное государство наподобие Китая, обладающее большими наступательными возможностями (которые оно обычно тщательно контролирует), вдруг атаковало потенциально сотни тысяч систем», - сообщил Мандиа информагентству Associated Press.
По данным FireEye, в рамках автоматизированных атак сразу две киберпреступные группы, работающие на правительство Китая, без разбора установили web-оболочки (бэкдоры) на неизвестное количество систем. Эксперты опасаются, что большое количество этих систем могут быть заражены вторичным вредоносным ПО, в том числе программами-вымогателями.
Правительство США назвало атаки «активной угрозой», но пока не предприняло никаких ответных мер против Китая, по крайней мере, публично. Считают ли власти, что вторая волна кибератак также является делом рук китайских хакеров, неизвестно.
Мандиа поддерживает позицию своего коллеги Дмитрия Альперовича, бывшего директора известной ИБ-компании CrowdStrike, считающего, что Китаю нужно срочно поставить ультиматум: немедленно свернуть все web-импланты и ограничить дополнительные.
Всплеск автоматизированных кибератак на Microsoft Exchange произошел за пять дней до того, как Microsoft выпустила исправления для уязвимостей, обнаруженных в январе компанией Volexity. По ее данным, эксплуатация уязвимостей началась 3 января. Их использовали китайские хакеры для атак на научные организации, университеты, оборонных подрядчиков, юридические фирмы и исследовательские центры по изучению инфекционных заболеваний.
За несколько дней до выхода исправлений все использующие Microsoft Exchange организации внезапно были инфицированы бэкдорами, связанными с известной киберпреступной группировкой из Китая, которая понимая, что уязвимости вот-вот будут исправлены, спешила атаковать все на своем пути.
«Они чувствовали приближение конца и просто взбесились, обстреливая все вокруг из пулемета. Возможно, вторая волна заражений не была одобрена на наивысшем уровне китайского правительства», - предположил Мандиа.