中国のHafniumハッキンググループは、Microsoft Exchange Serverを使用して米国内の少なくとも3万の組織をハッキングしたとされており、このグループはハッキングの最初の報告を受けて活動を強化したと言われている。
水曜日、マイクロソフトは開示された証拠中国のハッカー集団「Hafnium」がMicrosoft Exchange Serverを使って米国および世界中のサーバーを攻撃していたという。 Microsoftはまた、同グループが使用していたExchange Serverバージョン2013~2019に影響を与える4つのセキュリティホールを塞ぐための緊急セキュリティパッチもリリースした。
土曜日までに、ハッキング事件の規模に関するヒントは、それが広範囲かつ大規模なものであることを示していた。
によると情報源のロイター金曜日、この攻撃は米国の2万以上の組織に影響を与えた。しかし、米国の国家安全保障担当補佐官にこの問題について説明した匿名のサイバーセキュリティ専門家2名は、攻撃が伝えた クレブスオンセキュリティその数ははるかに多く、30,000 組織を超えています。
さらに、パッチがリリースされたにもかかわらず、このグループはパッチが適用されていない Exchange サーバーへのアクセスを獲得するために攻撃を強化していると専門家は主張しています。世界規模では、この攻撃は「数十万」のサーバーに影響を与えたと言われている。
未確認ですが、この大量ハッキングはSolarWindsよりも大規模なものであるようです。このネットワーク管理ソフトウェアのハッキングにより、18,000 以上の組織が影響を受けた可能性があると考えられています。
組織がパッチを適用した場合でも、依然として影響を受ける可能性があります。ハッキングの一環として、このグループは、サーバーへの管理アクセスを提供するブラウザからアクセス可能なハッキング ツールである「Web シェル」をインストールしたままにします。
パッチを適用する組織はハッキングの発生を防ぐことができますが、Web シェルが以前にハッキングされていた場合、システム上にまだ存在する可能性があります。
現在もWebシェルを実行している被害者には、金融機関、慈善団体、非営利団体、緊急サービスの運営を含む数千の米国法人が含まれていると主張されている。
「Microsoftがパッチを公開したのと同じ日にパッチを適用したとしても、サーバー上にWebシェルが存在する可能性は依然として高い」とセキュリティ会社Volexityの社長スティーブン・アデア氏は語る。 「実のところ、Exchange を実行していて、まだパッチを適用していない場合は、組織がすでに侵害されている可能性が非常に高いです。」
ハッキングの規模の大きさを受けて、米国サイバーセキュリティ・インフラセキュリティ庁(CISA)は連邦省庁に対し、Microsoft Exchangeサーバーを更新するかサーバーをオフラインにするよう命じる緊急指令を出した。ホワイトハウス報道官も、この脆弱性は「広範囲に影響を与える可能性があり、多数の犠牲者が出る恐れがある」と警告した。