Microsoft na celowniku. Tylko latem atakowany 10 tys. razy

Jak opisywaliśmy na łamach CyberDefence24.pl, Dowództwo Komponentu Wojsk Obrony Cyberprzestrzeni (DKWOC) wykryło wrogą aktywność wymierzoną w serwery pocztowe Microsoft Exchange. Działania pokrywały się z aktywnością grupy powiązanej z rosyjskim wywiadem wojskowym GRU.

Nie jest żadną tajemnicą dla osób zainteresowanych cyberbezpieczeństwem, że Polska jest na celowniku rosyjskich grup cyberprzestępczych powiązanych z państwem, a to „zainteresowanie” wzmogło się w czasie rosyjskiej agresji na Ukrainę, ponieważ nasz kraj był jednym z państw, które okazały się kluczowe w niesieniu pomocy.

10 tys. prób wykorzystania luki

Szczegóły wrogiej kampanii opisywaliśmy w tym materiale. Natomiast analiza Proofpoint, na którą powołuje się serwis Cybernews wskazuje ponadto, że codziennie podejmowano próby ataku na konta Microsoft Outlook latem tego roku, w sumie było ich ponad 10 tys. Prawdopodobnie stała za tym dobrze znana grupa powiązana z Rosją, znana jako Fancy Bear (a także jako TA422, Forest Blizzard, Pawn Storm i BlueDelta).

Amerykańska firma cyberbezpieczeństwa uważa także, że mogła to być kontynuacja kampanii, która rozpoczęła się w marcu br. przeciwko wielu organizacjom w Europie i Ameryce Północnej. Najnowsza wykryta przez badaczy operacja cechowała się jednak sporą różnicą, jeśli chodzi o liczbę wiadomości mailowych, wysyłanych w ramach kampanii wykorzystującej lukę CVE-2023-23397.

Wskazana operacja – zdaniem badaczy – miała znacznie większą skalę niż typowe ataki szpiegowskie powiązane z państwem. Przede wszystkim polegała bowiem na tym, że adwersarze podjęli ponad 10 tys. prób wykorzystania luki w zabezpieczeniach programu Microsoft Outlook i w lecie atakowali te same konta wiele razy. Celem było uzyskanie dostępu do systemów, a podejście grupy było „rozproszone” – wielokrotnie atakowano tak szeroko, jak to tylko możliwe.

Co robić?

DKWOC ostrzegało, że luka może być nadal aktywnie wykorzystywana i opracowało specjalny zestaw instrumentów, które warto uruchomić w środowisku pocztowym Microsoft Exchange (warto zapoznać się z nimi TUTAJ). Microsoft wydał łatkę bezpieczeństwa i ostrzeżenie dla wszystkich swoich użytkowników. Wezwano również do możliwie jak najszybszej aktualizacji systemu.

/NB

Serwis CyberDefence24.pl otrzymał tytuł #DigitalEUAmbassador (Ambasadora polityki cyfrowej UE). Jeśli są sprawy, które Was nurtują; pytania, na które nie znacie odpowiedzi; tematy, o których trzeba napisać – zapraszamy do kontaktu. Piszcie do nas na: [email protected].