A Microsoft revelou que um grupo de hackers chineses conseguiu explorar uma série de vulnerabilidades zero-day no Exchange, um dos seus serviços de correio eletrónico usado frequentemente por empresas, com o objetivo de roubar dados de organizações norte-americanas.

Numa publicação no seu blog oficial, a empresa explica que o grupo, que toma o nome Hafnium, tem na “mira” vários setores, incluindo a área da investigação de doenças infeciosas, instituições do ensino superior e organizações não-governamentais. Os hackers conduzem as suas operações através de servidores virtuais privados nos Estados Unidos.

Para levar a cabo as suas operações de ciberespionagem, os hackers começaram por explorar quatro vulnerabilidades diferentes (CVE-2021-26855, CVE-2021-26857, CVE-2021-26858, e CVE-2021-27065) para ganhar acesso a servidores do Exchange.

Segundo a Microsoft, os atacantes também podem ter usado passwords roubadas para aceder aos servidores. Depois de criarem uma Web Shell para controlarem o servidor comprometido de forma remota, os hackers conseguiam aceder aos dados privados da rede de uma organização.

A empresa já lançou as atualizações necessárias para corrigir as vulnerabilidades e recomenda que todos os utilizadores do serviço as instalem o mais rapidamente possível. Para já, não existem provas de que o grupo de hackers tenha conseguido atacar utilizadores em específico ou de que as suas atividades tenham impacto noutros produtos da Microsoft.

Haverá alguma possibilidade de o sucedido estar relacionado com as consequências do ataque à SolarWinds? A gigante tecnológica indica que a exploração de vulnerabilidades que foi detetada não está relacionada com o conjunto de incidentes que marcou o panorama da cibersegurança em 2020.

Hackers chineses podem estar a explorar falhas no software da SolarWinds para espiar os Estados Unidos
Hackers chineses podem estar a explorar falhas no software da SolarWinds para espiar os Estados Unidos
Ver artigo

Recorde-se que, no início de fevereiro, investigadores descobriram que um grupo de hackers chineses conseguiu explorar uma outra vulnerabilidade no software desenvolvido pela SolarWinds. Em causa estava o acesso aos sistemas do National Finance Center (NFC), uma das agências do Departamento da Agricultura dos Estados Unidos (USDA na sigla em inglês).

Ainda antes, a FireEye, uma empresa de segurança norte-americana que foi comprometida nos ataques, tinha dado a conhecer que o principal grupo de hackers russos estava a ganhar acesso não autorizado às aplicações da suite de produtividade Microsoft 365.

Em dezembro do ano passado, a Microsoft descobriu que os atacantes acederam ao seu código-fonte. Porém, a empresa esclareceu que os hackers não conseguiram fazer alterações aos dados e que a intrusão não colocava em risco a segurança dos seus serviços nem as informações dos seus clientes.