Tom Burt – Vice-Presidente Corporativo, Segurança e Confiança do Cliente.
Hoje, estamos compartilhando mais informações sobre um agente de ameaça ligado a um país e identificado pelo Microsoft Threat Intelligence Center (MSTIC), a qual estamos chamando de Hafnium. O Hafnium opera a partir da China, e esta é a primeira vez que estamos falando sobre sua atividade. É um agente altamente qualificado e sofisticado.
Historicamente, o Hafnium visa principalmente entidades nos Estados Unidos com a finalidade de extrair informações de diferentes setores da indústria, incluindo pesquisadores de doenças infecciosas, escritórios de advocacia, instituições de ensino superior, empresas vinculadas ao Departamento de Defesa, instituições de debate político e ONGs. Embora o Hafnium esteja baseado na China, a maior de suas operações é realizada em servidores privados virtuais alugados (VPS) nos Estados Unidos.
Recentemente, o Hafnium se envolveu em uma série de ataques usando exploits desconhecidos que tiveram como alvo o Exchange Server on-premise. Até o momento, o Hafnium é o principal agente que vimos usando esses exploits, que são discutidos detalhadamente pelo MSTIC aqui. Os ataques incluíram três passos. Primeiro, ele ganharia acesso a um Exchange Server com senhas roubadas ou usando as vulnerabilidades não-descobertas anteriormente para se disfarçar de alguém que deveria ter acesso válido. Em segundo lugar, criaria um web shell para controlar o servidor comprometido remotamente. Em terceiro lugar, ele usaria esse acesso remoto – executado a partir dos servidores privados baseados nos EUA – para roubar dados da rede de uma organização.
Estamos focados em proteger os clientes dos exploits usados para empreender esses ataques. Hoje lançamos atualizações de segurança que protegerão os clientes que estão executando o Exchange Server. Recomendamos fortemente que todos os clientes do Exchange Server apliquem essas atualizações imediatamente. O Exchange Server é usado principalmente por clientes corporativos e não temos evidências de que as atividades do Hafnium tenham como alvo consumidores individuais ou que esses exploits tenham afetado outros produtos da Microsoft.
Embora tenhamos trabalhado com urgência para implantar uma atualização para os exploits do Hafnium, sabemos que muitos agentes e grupos criminosos agirão rapidamente para se aproveitar de sistemas não-atualizados. Aplicar rapidamente os patches lançados hoje é a melhor proteção contra este ataque.
Além de oferecer novas proteções aos nossos clientes, informamos as agências governamentais dos EUA sobre esta atividade.
Esta é a oitava vez nos últimos 12 meses que a Microsoft divulgou publicamente atividades de grupos direcionadas a instituições críticas para a sociedade civil; outras atividades que divulgamos visaram organizações de saúde que lutam contra a pandemia de COVID-19, campanhas políticas e outros envolvidos nas eleições de 2020 e participantes de alto escalão em importantes comitês de formulação de políticas.
O fato de que muitas organizações compartilham voluntariamente suas informações com o mundo, entre si e com instituições governamentais comprometidas com a defesa serve de motivação para nós. Agradecemos aos pesquisadores da Volexity e da Dubex que nos notificaram sobre aspectos desta nova atividade do Hafnium e trabalharam conosco para lidar com ela de forma responsável. Precisamos que mais informações sejam compartilhadas rapidamente sobre ataques cibernéticos para permitir que todos nós nos defendamos melhor contra eles. É por isso que o presidente da Microsoft, Brad Smith, disse recentemente ao Congresso dos EUA que devemos tomar medidas para requerer o relato de incidentes cibernéticos.
Os exploits que estamos discutindo hoje não estavam de forma alguma ligadas aos ataques relacionados ao SolarWinds. Continuamos a não ver evidências de que o agente por trás do SolarWinds tenha descoberto ou explorado qualquer vulnerabilidade em produtos e serviços da Microsoft.
Postado no blog Microsoft On the Issues.
