Článek
„Počátkem března těchto exploitů využila nová útočná skupina známá jako HAFNIUM k sérii omezených a přesně zacílených útoků. Během prvního březnového týdne napadla na 1400 samostatných serverů, většinou v Evropě a ve Spojených státech, některé servery i opakovaně,“ konstatoval Ariel Jungheit, hlavní bezpečnostní analytik týmu GReAT, který patří pod společnost Kaspersky.
To podle něj jasně naznačuje, že zranitelností využívá více skupin. „V polovině března jsme odhalili další kampaň využívající stejných nástrojů, tentokrát ovšem zaměřenou na Rusko. I tady se vyskytly stopy skupiny HAFNIUM a dalších útočníků, o nichž už společnost Kaspersky věděla,“ podotkl Jungheit.
Počet útoků na Exchange Server vzrostl desetinásobně
„Za dalšími aktivitami stojí nechvalně proslulá skupina Lazarus – i ta zvolila metodu útoků zero-day. V tomto případě pomocí sociálního inženýrství přesvědčila bezpečnostní analytiky, aby si stáhli napadený soubor z vývojového prostředí Visual Studio, případně lákala oběti na svůj blog a instalovala jim do prohlížečů Chrome exploit,“ uvedl bezpečnostní analytik s tím, že účelem útoku byla podle něj zjevně krádež dat z průzkumu zranitelnosti.
Před zranitelností Exchange Serveru varovali bezpečnostní experti již na začátku března, přesto se většina útoků uskutečnila až po vydání opravné aktualizace. Tyto zranitelnosti umožňují přístup k e-mailovým schránkám na serveru a následné vzdálené spuštění kódu. Zároveň Microsoft upozorňuje, že tyto zranitelnosti jsou aktuálně aktivně zneužívány.
„Check Point detekuje tisíce útoků, od 11. března se počet pokusů o zneužití zvýšil desetinásobně,“ prohlásil Pavel Krejčí, bezpečnostní výzkumník v Check Pointu.
Nejvíce útoků v USA
Podle něj útoky zasáhly především USA (17 % všech pokusů o zneužití zranitelností), následují Německo (6 %), Spojené království (5 %), Nizozemsko (5 %) a Rusko (4 %). Nárůst útoků nicméně pokračuje i v České republice.
To potvrzují i data antivirové společnosti Eset, která jen v tuzemsku objevila v březnu na 500 napadených poštovních serverů. A to za necelé dva týdny od objevení zranitelnosti.
„Příčiny této situace spatřujeme mimo jiné ve velkém počtu serverů, které jsou takzvaně vystavené do internetu. Zároveň se v Česku fyzicky nachází poměrně významný počet IT infrastruktur řady globálních společností, což v konečném důsledku naši situaci ve srovnání s ostatními zeměmi zhoršuje,“ vysvětlil Miroslav Dvořák, technický ředitel české pobočky Esetu.
Check Point dále zjistil, že 23 % útoků směřovalo na vládní organizace a vojenský sektor, 15 % útoků cílilo na výrobní sektor a zasažena byla i další odvětví, například bankovnictví a finanční služby (14 % útoků), softwarové organizace (7 %) a zdravotnictví (6 %).
V Česku bylo kvůli chybám Exchange Serveru napadeno ministerstvo práce a sociálních věcí (MPSV) a také servery České správy sociálního zabezpečení.