A Microsoft, no dia 2 de março de 2021, fez uma alerta sobre um grupo de hackers patrocinados pela China. Veja abaixo a tradução do alerta.
Microsoft fala sobre o grupo de hackers patrocinados pela china: “o Hafnium visa principalmente entidades nos Estados Unidos”
Hoje, estamos compartilhando informações sobre um agente de ameaça com patrocínio estatal que foi identificado pelo Microsoft Threat Intelligence Center (MSTIC), que chamamos de Hafnium. A Hafnium opera na China e esta é a primeira vez que estamos discutindo sua atividade. Trata-se de um ator altamente qualificado e sofisticado.
Historicamente, o Hafnium visa principalmente entidades nos Estados Unidos com o propósito de extrair informações de vários setores da indústria, incluindo pesquisadores de doenças infecciosas, escritórios de advocacia, instituições de ensino superior, empreiteiros de defesa, think tanks de políticas e ONGs. Embora a Hafnium esteja sediada na China, ela conduz suas operações principalmente a partir de servidores virtuais privados alugados (VPS) nos Estados Unidos.
Recentemente, a Hafnium se envolveu em uma série de ataques usando vulnerabilidades até então desconhecidos visando as instalações do software Exchange Server. Até o momento, Hafnium é o ator principal que vimos explorar essas vulnerabilidades, as quais que são discutidas em detalhes pelo MSTIC aqui. Os ataques incluíram três etapas. Primeiro, ele obteria acesso a um Exchange Server com senhas roubadas ou usando vulnerabilidades não descobertas anteriormente para se disfarçar como alguém que deveria ter acesso. Em segundo lugar, criaria o que chamamos de “web shell” para controlar o servidor comprometido remotamente. Terceiro, ele usaria esse acesso remoto – executado a partir de servidores privados com base nos EUA – para roubar dados da rede de uma organização.
Estamos focados em proteger os clientes das vulnerabilidades usadas para realizar esses ataques. Hoje, lançamos atualizações de segurança que protegerão os clientes que executam o Exchange Server. Recomendamos fortemente que todos os clientes do Exchange Server apliquem essas atualizações imediatamente. O Exchange Server é usado principalmente por clientes empresariais, e não temos evidências de que as atividades da Hafnium tenham como alvo consumidores individuais ou que essas explorações tenham impacto em outros produtos da Microsoft.
Mesmo que tenhamos trabalhado rapidamente para implantar uma atualização contra as falhas exploradas pelo Hafnium, sabemos que muitos atores estatais e grupos criminosos irão se mover rapidamente para tirar proveito de qualquer sistema não corrigido. Atualmente, fazer as atualizações é a melhor proteção contra esse ataque.
Leia também
Além de oferecer novas proteções para nossos clientes, informamos as agências governamentais dos EUA sobre essa atividade. Esta é a oitava vez nos últimos 12 meses que a Microsoft divulga publicamente que grupos vinculados a Estados estão atacando instituições essenciais para a sociedade civil; outra atividade que divulgamos teve como alvo organizações de saúde que lutam contra a Covid-19, campanhas políticas e outras pessoas envolvidas nas eleições de 2020 e participantes de alto nível das principais conferências de formulação de políticas.
Estamos contentes com o fato de que muitas organizações estão voluntariamente compartilhando dados com o mundo, entre si e com instituições governamentais comprometidas com a defesa. Agradecemos aos pesquisadores da Volexity e da Dubex, que nos notificaram sobre os aspectos desta nova atividade da Hafnium e trabalharam conosco para abordá-la de forma responsável. Precisamos que mais informações sejam compartilhadas rapidamente sobre ataques cibernéticos para permitir que todos nós possamos nos defender melhor contra eles. É por isso que o presidente da Microsoft, Brad Smith, disse recentemente ao Congresso dos EUA que devemos tomar medidas para exigir o relato de incidentes cibernéticos.
As falhas que estamos discutindo hoje não estavam de forma alguma relacionados aos ataques ao SolarWinds, que foi um incidente separado. Continuamos sem ver evidências de que o agente por trás da SolarWinds descobriu ou explorou qualquer vulnerabilidade nos produtos e serviços da Microsoft.
Para ver o comunicado original, clique aqui.
Foto: Tadas Sar@stadsaTadas Sar.