新科技速遞
本周,美國及主要盟友指責中國政府聘用黑客,入侵多家西方機構的Exchange電郵系統發動攻擊,美國估計約有30,000家機構遭攻擊。
但是不少有關研究,並未將矛頭指向中國,從攻擊手法亦不似是主權國家所為,反而是因為漏洞在堵塞前泄露,給予黑客可乘之機,西方國家的反華,已是欲加之罪。
Exchange為全球最流行的電郵系統,由於黑客針對不同Exchange版本的四個漏洞,遙距入侵微軟電郵的伺服器竊取電郵內容,近月導致了多宗入侵。Microsoft指責中國政府是幕後主腦,而美國政府亦指責,中國政府有份資助Hafnium黑客組織發動攻擊。
上周白宮一名高級官員再表示,美國政府「甚有信心」,認為黑客受僱於中國國家安全部,透過攻擊進行勒索、挖礦劫持和盗竊的勾當。
據彭博新聞社報導,向中國提出指控國家;除了《五眼聯盟》;美國、英國、澳洲、加拿大、紐西蘭;亦包括歐盟、日本、北約。歐盟指,攻擊與兩個被稱為Advanced Persistent Threat 40及Advanced Persistent Threat 31黑客組織亦有關連。
一時間,中國千夫所指,成為網絡犯罪的幕後黑手。
動機耐人尋味
Hafnium漏洞2021年3月首次公開披露,但其實台灣的網絡安全研究機構DEVCORE,早於2020年12月就發現Exchange漏洞,隨即知會了Microsoft;但Microsoft卻直至2021年3月才公開漏洞訊息並發出修補,其間的3個月內,漏洞卻不知為何外泄,結果多家機構不知情下,電郵系統遭入侵。
Microsoft堵塞漏洞反應遲緩,機事不密,表現已備受批評。後來,不知何故矛頭轉向中國國家安全部;Hafnium入侵工具在開源網站,唾手可得,發現漏洞又非中國機構,本港亦有多家機構遭入侵,中國境內超過600部Exchange受攻擊,Hafnium似乎不只針對美國。
研究機構發現,黑客以自動化掃描發動攻擊。中國願意「資助」Hafnium犯罪活動,或者「分享」漏洞,其中動機,已耐人尋味。
Barracuda發表報告,指過去兩個月,Barracuda安全防護系統阻截到自動化掃描和攻擊,從每天數十萬次,曾激增至數百萬次,當中每天數千個掃描針對最近修補的Microsoft和VMware漏洞。
Barracuda保護全球不少企業電郵,並沒指漏洞與中國政府有何關連,而其他美國網絡安全研究機構Volexity及CrowdStrike等,亦未獲得相同結論,歐美政府的「證據」;可能只是Microsoft情報網絡部門的推測。
自動化攻擊機械人執行
今年年初,全球數以萬計針對Exchange漏洞攻擊,都透過Exchange伺服器中存在的伺服器端請求偽造(SSRF)漏洞,攻擊者發送HTTP 請求,並向Exchange伺服器進行身份認證,上述過程多數已不經人手,透過機械人自動執行。
從公開資料顯示,「Hafnium」能夠識別易受攻擊的系統,其餘漏洞似乎亦與該漏洞有相關聯;包括將 web shell 放入被利用系統中,以獲得存取權限,作進一步攻擊。Hafnium利用已知漏洞製作一般性攻擊,國家級的攻擊,則多針對性作部署,以獲得情報或機密。
Barracuda研究人員分析攻擊模式,發現大多數為自動化的攻擊,會在周末暫停。Barracuda發現機械人(Bot)按照工作日才執行攻擊,原因可能是因工作日發動攻擊,網絡有正常工作活動,較易於隱藏,週末使用率較低,向系統發動攻擊容易觸發警報。
然而,研究亦發現命令注入攻擊最多,Barracuda發現針對Windows命令注入攻擊,6月的兩週內達到頂峰,然後回落至正常水平。