Por Tom Ozimek
O grupo de segurança cibernética FireEye disse na quinta-feira que encontrou evidências de que hackers ligados ao regime chinês exploraram uma falha em um aplicativo de e-mail da Microsoft para perseguir vários alvos americanos, incluindo uma universidades e governos locais.
Os analistas da FireEye escreveram em uma postagem de blog que a empresa criou “detecções de alta fidelidade” e lançou várias campanhas de caça a ameaças depois que a Microsoft confirmou no início desta semana que um grupo de hackers patrocinado pelo Estado chinês conhecido como “Hafnium” havia explorado vulnerabilidades no e-mail do Exchange Server da Microsoft.
Usando sua gama de métodos e ferramentas de detecção, a FireEye descobriu que “a atividade relatada pela Microsoft está de acordo com nossas observações” e disse que os hackers do Hafnium visavam uma série de vítimas, incluindo “varejistas nos Estados Unidos, governos locais, uma universidade e um empresa de engenharia ”, bem como um governo do sudeste asiático e uma telecomunicação da Ásia Central.
A FireEye disse que os hackers do Hafnium anteriormente tinham como alvo universidades, empresas de defesa e pesquisadores de doenças infecciosas baseados nos EUA.
Os analistas disseram que a FireEye está rastreando atualmente a atividade maliciosa em três clusters, mas alertaram que esperam encontrar clusters adicionais à medida que respondem às intrusões.
“Recomendamos seguir as orientações da Microsoft e aplicar patches no Exchange Server imediatamente para mitigar essa atividade”, disseram os analistas.
Para aqueles que procuram evidências potenciais de comprometimento, a FireEye recomenda verificar se há arquivos gravados no sistema por w3wp.exe ou UMWorkerProcess.exe, recursos inexistentes e agentes de usuário HTTP suspeitos ou falsificados.
“Em nossas investigações até o momento, os shells da web colocados nos servidores Exchange foram nomeados de forma diferente em cada invasão e, portanto, o nome do arquivo sozinho não é um indicador de alta fidelidade de comprometimento”, disseram os analistas.
Isso aconteceu dias depois que a Microsoft disse em um blog que a campanha de hacking ligada ao regime chinês fez uso de quatro vulnerabilidades não detectadas anteriormente em diferentes versões do software Exchange Server.
O pacote de produtos da Microsoft está sob escrutínio desde que a SolarWinds, empresa de software com sede no Texas que serviu de trampolim para várias intrusões no governo e no setor privado, foi hackeada. Em outros casos, os hackers se aproveitaram da maneira como os clientes configuraram seus serviços Microsoft para comprometer seus alvos ou mergulhar ainda mais nas redes afetadas.
Hackers que perseguiram a SolarWinds também violaram a própria Microsoft, acessando e baixando o código-fonte – incluindo elementos do Exchange, o e-mail da empresa e produto de calendário.
Antes do anúncio da Microsoft, os movimentos cada vez mais agressivos dos hackers começaram a atrair a atenção da comunidade de segurança cibernética.
Mike McLellan, diretor de inteligência da Secureworks da Dell Technologies Inc, disse antes do anúncio da Microsoft que notou um aumento repentino na atividade dos servidores Exchange durante a noite de domingo, com cerca de 10 clientes afetados em sua empresa.
McLellan disse que, por enquanto, a atividade de hackers que ele viu parecia focada em disseminar software malicioso e preparar o terreno para uma intrusão potencialmente mais profunda, em vez de se mover agressivamente para as redes imediatamente.
“Não vimos nenhuma atividade subsequente ainda”, disse ele. “Encontraremos muitas empresas afetadas, mas um número menor de empresas realmente exploradas.
A Microsoft disse que os alvos incluem pesquisadores de doenças infecciosas, escritórios de advocacia, instituições de ensino superior, empresas de defesa, grupos de reflexão sobre políticas e grupos não governamentais.
A Reuters contribuiu para esta reportagem.
Siga Tom no Twitter: @OZImekTOM
Entre para nosso grupo do Telegram.
