Waar de actieve uitbuiting van de zero day-lekken in Microsoft Exchange aanvankelijk werden toegeschreven aan een enkel hackerscollectief, blijkt nu dat minstens tien groeperingen de kwetsbaarheden op dit moment misbruiken.
De recent ontdekte kwetsbaarheid in on-premises en gehoste Microsoft Exchange-servers wordt breder uitgebuit dan aanvankelijk gedacht. Dat ontdekte beveiligingsspecialist Eset. Aanvankelijk leken de achterpoortjes vrijwel exclusief misbruikt te worden door Hafnium; een aan China gelinkte groep van cybercriminelen. Onderzoek van Eset toont nu aan dat minstens tien groeperingen de zero days vandaag uitbuiten. Sterker nog: zes teams van criminelen hadden weet van de zero days voor Microsoft zijn patches lanceerde en de kennis publiek werd. Die situatie is moeilijk te verklaren en ongezien in securityland.
Tijdslijn
Een voorlopige tijdslijn opgesteld door Eset toont de omvang van de problemen aan. Zoals geweten rapporteerde een beveiligingsonderzoeker de zero days op 5 januari aan Microsoft, dat het probleem aanvankelijk niet ernstig genoeg inschatte maar uiteindelijk toch in actie schoot en patches in sneltempo de deur uitstuurde. Op twee maart kwamen die patches beschikbaar en werd het bestaan van de zero days met het grote publiek gedeeld.
Op dat moment was hackersgroepering Hafnium de lekken al aan het uitbuiten. Het ziet er nu naar uit dat Hafnium de zero day al minstens sinds 3 januari kent en misbruikt. Op 28 februari begon een ander hackerscollectief gekend onder de noemer Tick de lekken te misbruiken. Dat twee organisaties eenzelfde set onbekende zero days gebruikt is ongebruikelijk, maar niet ongehoord.
Het verhaal neemt pas echt een vreemde wending net voor de lancering van de patch van Microsoft. De dag voordat Redmond de updates publiek maakte, sprongen drie nieuwe criminele groeperingen op het lek: LuckyMouse, Calupso en Websiic. Op de dag van de voegde de Winnti Group zich bij het gezelschap. Net voor de officiële bekendmaking waren er dus zes hackersgroeperingen actief bezig met het uitbuiten van de zero days in Exchange.
APT-groeperingen
Daarbij valt het op dat de zes groeperingen gekend staan als advanced persistent threat (APT)-groeperingen. Dat zijn aanvallers met veel middelen en kennis die gelinkt zijn aan spionagepraktijken voor natiestaten. Doorgaans gaat het om links met landen als China en Rusland. Onmiddellijk na de lancering van de patch door Microsoft sprongen er nog een heleboel groeperingen op de kar.
De tijdslijn schetst een verontrustend beeld. Beveiligingsonderzoekers zijn het erover eens dat een dergelijke snelle en efficiënte uitbuiting geen toeval is. Zoals we zelf al uitlichtten in ons stuk over de Belgische impact van het hack, is het niet normaal dat een zero day-lek zo snel zo efficiënt wordt misbruikt. Zelfs wanneer er voor de patch al een groepering kennis heeft van de zero day, duurt het een tijdje voordat andere criminelen de aanval kunnen ontleden en repliceren. 24 uur lijkt daarbij onrealistisch weinig.
Samenwerking
Tenzij alle betrokken hackersgroeperingen op de één of andere manier samenwerkten. Daarbij gaan er verschillende theorieën de ronde. De eerste legt de schuld bij de natiestaat waaraan de APT’s rapporteren. De inlichtingendienst van dat land kan de nodige kennis mogelijk zelf gedeeld hebben met de bevriende criminelen. Een andere mogelijkheid is het bestaan van een tot nog toe ongekend forum waarop de exploits werden gedeeld. De timing suggereert dat de tools om het lek uit te buiten verkocht werden. Bij de lancering van de patch zou het lek in waarde gedaald zijn, waardoor meer partijen ermee aan de slag gingen.
lees ook
Chinees Exchange-hack treft minderheid Belgische bedrijven
De organisaties getroffen door de hackers zijn niet van de minsten. De Europese Bankautoriteit EBA behoort tot de slachtoffers, net als het Noorse parlement. De tijdslijn zet de omvang van het Exchange-hack opnieuw in de schijnwerpers. Het toont aan hoe groot de dreiging van cybercriminelen en APT’s effectief is en illustreert de schaal waarop ze schade kunnen aanrichten.