أفاد مراسلو الأمن السيبراني (بريان كريبس) و (آندي جرينبيرج) أندي جرينبيرج قبل أيام قليلة أنه تم اختراق ما يصل إلى 30000 مؤسسة بطريقة غير مسبوقة نتيجة لاختراق خادم بريد Microsoft Exchange ، ويعتقد أن القرصنة تأتي من مجموعة قراصنة الحكومة الصينية المعروفة باسم هافنيوم …
وتضاعف هذا التقدير ليصل إلى 60 ألف عميل تم اختراقهم حول العالم ، حيث تم التعرف عليه ، ويبدو أن مايكروسوفت استغرقت وقتًا طويلاً لتدرك جدية ومخاطر إصلاح ذلك.
وضع كريبس الأساس لعملية اختراق خادم Exchange الضخمة ويقول إن Microsoft أكدت أنها كانت على دراية بالثغرات الأمنية في أوائل يناير.
مر ما يقرب من شهرين قبل أن تصدر Microsoft أول دفعة من التصحيحات ، إلى جانب منشور مدونة لم يوضح مدى الهجوم وكان من المقرر في الأصل انتظار أحد أيام الثلاثاء القياسية لإصدار التصحيحات ، لكنها رفضت ونشرت منذ أسبوع.
قالت MIT Technology Review إن الهافنيوم قد لا يكون التهديد الوحيد ، نقلاً عن محلل للأمن السيبراني يدعي أنه اعتبارًا من يوم السبت ، يبدو أن هناك خمس مجموعات قراصنة على الأقل تستغل بنشاط عيوب Exchange Server.
وبحسب ما ورد يكافح المسؤولون الحكوميون لإنجاز شيء ما ، حيث قال أحد المسؤولين الحكوميين إنها مشكلة كبيرة جدًا ، بينما قال متحدث باسم البيت الأبيض إن المشكلة تشكل تهديدًا نشطًا ، لفت الانتباه إلى الرسالة. نشرته وكالة الأمن السيبراني التابعة لوزارة الأمن الداخلي في 3 مارس.
كما حذر مستشار الأمن القومي للبيت الأبيض من ذلك ، كما حذر من ذلك وكالة الأمن السيبراني والبنية التحتية ومجلس الأمن القومي بالبيت الأبيض.
يحتاج أي شخص قام بتثبيت خادم Microsoft Exchange محليًا إلى تثبيت تصحيح ، وبحسب ما ورد قام المتسللون بتثبيت برامج ضارة قد تسمح لهم بالعودة إلى الخوادم مرة أخرى ، ولم يُعرف بعد ما الذي استولوا عليه.
رفضت Microsoft التعليق على توقيت التصحيح والإفصاح ، مستشهدة ببيان سابق ، قائلة بدلاً من ذلك ، “إننا نعمل عن كثب مع CISA والوكالات الحكومية الأخرى وشركات الأمان لتزويد العملاء بأفضل الإرشادات وإجراءات التخفيف.
وأضاف البيان: تتمثل الحماية الأفضل في تحديث جميع الأنظمة المتأثرة في أسرع وقت ممكن ، ونستمر في مساعدة العملاء بإرشادات تحقيق وتخفيف إضافية ، ويجب على العملاء المتأثرين الاتصال بفرق الدعم للحصول على مزيد من المساعدة والموارد.
هذه هي الصفقة الحقيقية. إذا كان لدى مؤسستك خادم OWA متاحًا على الإنترنت ، فافترض وجود حل وسط بين 26 فبراير و 3 مارس. تحقق من ملفات aspx المكونة من 8 أحرف في C: inetpubwwwrootaspnet_clientsystem_web. إذا نجحت في إجراء هذا البحث ، فسوف تدخل وضع الاستجابة للحوادث.
– كريس كريبس (C_C_Krebs)
لا يعد التصحيح والتخفيف علاجًا إذا تم اختراق الخوادم بالفعل. من المهم جدًا أن تتخذ أي مؤسسة لديها خادم ضعيف إجراءات فورية لتحديد ما إذا كانت مستهدفة بالفعل.
– مجلس الأمن القومي (WHNSC)