Jak rosyjscy hakerzy włamują się do naszych maili?

Polskie Wojska Obrony Cyberprzestrzeni we współpracy z firmą Microsoft zidentyfikowały techniki pozwalającej na odczytywanie zawartości cudzych skrzynek pocztowych Microsoft Exchange, którą wykorzystują na dużą skalę rosyjscy hakerzy, którzy opracowali narzędzia do weryfikacji i zabezpieczenia luki.

Hakerzy używają siłowego łamania hasła by zdobyć dostęp do naszych skrzynek mailowych

.O zagrożeniu dla skrzynek Microsoft Exchange czytamy w komunikatach opublikowanych przez Microsoft oraz polskie Dowództwo Komponentu Wojsk Obrony Cyberprzestrzeni (DKWOC). Jak wskazano w obu komunikatach, chodzi o technikę umożliwiającą grupom hakerskim – poprzez zmiany w uprawnieniach dostępu do folderów w skrzynkach pocztowych – niewidoczny dostęp do korespondencji mailowej działającej w usłudze Microsoft Exchange, wykorzystywanej przez różnego rodzaju firmy i instytucje – w tym państwowe – na całym świecie.

W komunikacie DKWOC zaznaczono, że analizy WOC potwierdziły „szkodliwe działania przeciwko podmiotom publicznym i prywatnym w Polsce” z wykorzystaniem tej techniki.

„W pierwszym etapie, atakujący uzyskuje dostęp do skrzynek pocztowych poprzez ataki typu brute force (siłowe łamanie hasła przez sprawdzanie wszelkich możliwych kombinacji ) lub wykorzystanie podatności usługi Microsoft Exchange (CVE-2023-23397) polegającej na wysłaniu specjalnie spreparowanej wiadomości e-mail i wykradnięciu hasha NTLM, dzięki któremu adwersarz może bez jakiejkolwiek reakcji i wiedzy użytkownika uzyskać dostęp do jego skrzynki pocztowej” – czytamy w komunikacie DKWOC.

„Kolejny etap ataku to zmiana uprawnień dostępu do poszczególnych folderów (Skrzynka Odbiorcza, Wysłane, Kopie Robocze etc.). W większości zaobserwowanych przypadków zmiana uprawnień polegała na nadaniu uprawnień właścicielskich (Owner), pozwalających na odczytanie, pobieranie czy usuwanie wiadomości w folderze (ale bez możliwości wysłania wiadomości), grupie uwierzytelnionych użytkowników (grupa Default). W efekcie, każdy użytkownik posiadający konto w tej samej organizacji, mógł odczytać zawartość folderów użytkownika, którego uprawnienia dostępu do folderów zostały tak zmodyfikowane” – podkreślono.

„Cechą charakterystyczną dla działań prowadzonych przez adwersarza jest modyfikacja uprawnień do wszystkich folderów w ramach skrzynki pocztowej w relatywnie krótkim czasie (kilku sekund), co fizycznie wyklucza możliwość wprowadzenia tych zmian ręcznie przez użytkownika. W przypadkach zaobserwowanych przez DKWOC, adwersarz modyfikował w taki sposób foldery w skrzynce użytkownika, który stanowił dla niego wartościowe źródło informacji, a następnie pobierał zawartość jego skrzynki pocztowej za pośrednictwem innego konta pocztowego, w ramach tej samej organizacji” – dodano.

Polskie Wojska Obrony Cyberprzestrzeni działają wspólnie z Microsoft by powstrzymać rosyjskie cyberataki

.DKWOC podkreśla również w komunikacie, że opracowało zestaw narzędzi, które mogą zostać uruchomione w środowisku pocztowym Microsoft Exchange. W ramach Krajowego Systemu Cyberbezpieczeństwa przeprowadzone zostały działania w porozumieniu z CSIRT MON, CSIRT GOV, CSIRT NASK, SKW oraz ze wsparciem firmy Microsoft.

Z kolei Microsoft wskazał w komunikacie, że luka w zabezpieczeniach wykorzystana została m.in. przez powiązaną z rosyjskim GRU grupą hakerską „Forest Blizzard”. Rosyjscy hakerzy wykorzystują tzw. krytyczną podatność CVE-2023-23397 w systemach Microsoftu, by uzyskać dostęp do interesujących ich skrzynek pocztowych – przede wszystkim związanymi z instytucjami rządowymi, zajmującymi się energetyką i transportem w USA, Europie oraz na Bliskim Wschodzie.

Jak poinformowano na profilu Microsoftu poświęconym cyberbezpieczeństwu na portalu X (Twitterze), spółka współpracuje z polskimi Wojskami Obrony Cyberprzestrzeni w działaniach przeciwko „Forest Blizzard” w zakresie identyfikacji i przeciwdziałania zagrożeń. „Dziękujemy DKWOC za partnerstwo i współpracę w tej kwestii” – czytamy.

DKWOC oceniło, że sposób działania atakujących świadczy o ich wysokich kompetencjach technicznych oraz gruntownej wiedzy na temat systemów Microsoftu. „Identyfikacja tego typu ataku jest trudna z uwagi na brak wykorzystania jakichkolwiek narzędzi ofensywnych, które mogłyby zostać wykryte przez systemy cyberbezpieczeństwa” – czytamy.

W komunikacie dodano, że w chwili publikacji opisana technika hakerska może być wciąż aktywnie wykorzystywana. „W związku z powyższym DKWOC rekomenduje wykorzystanie opracowanych narzędzi oraz wdrożenie środków zaradczych zgodnie z załączonymi instrukcjami. Opracowane narzędzia stanowią autorskie rozwiązanie DKWOC pozwalające na weryfikację wystąpienia modyfikacji folderów pocztowych oraz przywrócenie pożądanych ustawień dostępu w środowiskach pocztowych MS Exchange o infrastrukturze: on-prem, hybrydowej oraz chmurowej” – wskazano.

Cyberwojnę można prowadzić, nie zostawiając śladów

.W 2012 roku Rosjanie po raz pierwszy sklasyfikowali przestrzeń informacyjną jako nowy teren działań wojskowych, taki sam jak ziemia, morze, powietrze i kosmos. Cyberprzestrzeń to dla reżimu Putina pierwszorzędne, autonomiczne pole strategiczne. Yannick HARREL, wykładowca w uczelni wojskowej Saint-Cyr-Sogeti/Thales i autor wielu artykułów poświęconych wyzwaniom związanym z rewolucją cyfrową poświęca temu artykuł, opublikowany na łamach Wszystko co Najważniejsze.

Jego zdaniem cyberprzestrzeń to idealny teatr wojny. Pozwala bowiem skorzystać z relatywnej dyskrecji, umożliwia uderzenia szybkie bądź celowo opóźnione, prowadzenie działań synchronicznych lub asynchronicznych osłabiających siły wroga, zmuszających do pozostawania w epicentrum bądź strefie miejsca ataku. A sam cel wcale nie musi być jasno wyznaczony, co wytrąca przeciwnikowi wszelką inicjatywę. Jednocześnie tarcza cybernetyczna musi odpowiedzieć na każde uderzenie. W przypadku zaś zwycięskiego wrogiego ataku, zdolność odporu musi być wzmocniona. Broń jądrowa uniemożliwiała manewry na froncie, a cybernetyka w opinii autora daje armiom nowe pola działania.

„Na zagrożenie informacyjne szczególnie narażone są siły zbrojne (chociażby z uwagi na stosowanie zautomatyzowanych systemów komend i nadzoru), jak też zasoby oraz infrastruktury informacyjne i komunikacyjne używane przez oddziały. Tę podatność na zagrożenia zwiększają wojna elektroniczna oraz potencjalne intruzje sieci informatycznych” – pisze Yannick HARREL.

Specjalista od cyberbezpieczeństwa dodaje, że mając to na względzie, żadną miarą nie należy się skupiać na powierzchownym aspekcie wojny cybernetycznej, myśląc wyłącznie o zakłóconych danych czy zmienionych bazach, bez żadnego związku z działaniami terenowymi. „Może to dotyczyć dysfunkcyjności cyfryzacji pola bitwy dezorientującej lub oślepiającej batalion lub zwrócenie się drona przeciwko własnemu obozowi. Czy będą to wojskowe jednostki cybernetyczne czy też jednostki standardowe, wyposażone w ulepszone systemy telekomunikacyjne, przyszłe konflikty zmienią się dzięki wzrostowi znaczenia elektroniki oraz przepływu danych między ośrodkami dowodzenia a wojskami” – dodaje autor.

Dodaje także, że jednostki walczące będą coraz bardziej uzależnione od interfejsów, programowania i sprzętu. Będą mogły jednocześnie liczyć na inteligentne wsparcie (geolokalizacja, korekcja, prewizualizacja balistyczna, rzeczywistość spotęgowana), jak i związek ze stanowiskiem centralnego dowodzenia (wielokrotna koordynacja w czasie rzeczywistym). Sprawi to, że są one zarazem skuteczniejsze i jednocześnie bardziej narażone na atak w obrębie nowej przestrzeni.