Az a hacker, aki 21.000-nél is több Microsoft Exchange Server emailrendszert tört fel és fertőzött meg rosszindulatú vírussal, a KrebsOnSecurity kibervédelmi oldalt név szerint is igyekezett gyanúba keverni. Tisztázzuk is rögtön az elején: nem Brian Krebs áll a támadássorozat mögött.
A Shadowserver Foundation nonprofit szervezet, mely segítséget nyújt a hálózatok biztonsági fenyegetettségeinek azonosításában és megoldásában, azt jelezte, hgy 21.248 különböző meghackelt Exchange szervert talált, mely a brian[.]krebsonsecurity[.]top név alatt kommunikált.
A Shadowserver több különböző támadási hullámot követett nyomon, melyek az Exchange azon hibáira épültek, melyeket a Microsoft a hónap elején már javított. Aktív internet scannerek és “mézesbödönök” (szándékosan sérülékenyen hagyott oldalak, melyek segítségével a védelmi szakemberek tanulmányozhatják a támadók eszközeit és módszereit) felhasználásával folyamatosan tanulmányozták az Exchange rendszereit.
David Watson, a Shadowserver Foundation Europe igazgatója beszámolt arról, hogy több száz olyan “hátsó ajtót” figyeltek rendszeresen, melyeket kiberbűnözői csoportok használtak világszerte, hogy elérjék azokat az Exchange szervereket, melyeken még nem javították a hibákat. E hátsó ajtók teljes hozzáférést adnak a támadóknak, akik távolról is hozzáférnek a rendszerekhez.
Március 26-án a Shadowserver észlelte, hogy új típusú hátsó ajtót tettek a feltört Exchange szerverekre: “/owa/auth/babydraco.aspx.” “Ez az alkalmazott hátsó ajtó új volt a számunkra. Mi eddig 367 ismert hátsó ajtót teszteltünk az Exchange szerverek scannelésével.”
Az OWA az Outlook Web Access-re utal, és a Shadowserver munkatársai számos Babydraco hátsó ajtót láttak már, mely hasonló elven működött: felhasználja a “krebsonsecurity.exe” fájlt a 159.65.136[.]128 online címről. Hihetetlen, de a Virustotal.com oldalon elérhető számtalan antivírus eszköz közül egyik sem szűri ki e fájlt rosszindulatúként.
A krebsonsecurity fájl pedig megváltoztatja a rendszer regisztrációját, alapvető igaolásait és a Windows Defender számára azt üzeni, hogy ne scannelje. A fájl emellett megpróbálja feltörni az Exchange szerver és a fenti IP-cím közötti titkosítást és percenként adatokat irányít át rá.
A Shadowserver szerint 21.000-nél több szerveren találták meg a Babydraco hátsó ajtót, azt viszont nem tudták megmondani, hogy ezek közül hányra töltötték le a vírusos fájlt.
Az Exchange Server felhasználói azonnali védelmet nyernek, ha letöltik a Microsoft által kibocsátott javítást.
Ez nem az első, és valószínűleg nem is az utolsó, hogy biztonsági szakemberek nevét, tekintélyét használják fel hackertámadásra. Gondoskodjon Ön is céges adatai védelméről és javítsa munkatársai kibervédelmi felkészültségét a Kerubiel szakembereinek segítségével!