Quick Facts
Gerningsmand(e)Hafnium
Offer(e)Titusinder af organisationer globalt
GerningsstedGlobal
Gerningsdato2021-01
ForbrydelsestypeCyberspionage
Januar 2021: Kinesisk Hafnium angriber Microsoft Exchange-servere
I januar 2021 indledte Hafnium, en kinesisk statssponsoreret hackergruppe tilknyttet Kinas Ministerium for Statssikkerhed (MSS), et af de mest omfattende cyberangreb i nyere tid. Gruppen udnyttede fire hidtil ukendte sårbarheder i Microsofts Exchange Server. Microsoft afslørede dette omfattende hacking-angreb den 2. marts 2021. På det tidspunkt havde angrebene, der var startet i januar 2021, allerede kompromitteret titusinder af servere hos tusindvis af organisationer globalt. Ofrene talte statslige institutioner, forsvarsvirksomheder, juridiske firmaer og forskningsinstitutioner. På trods af Microsofts hurtige udstedelse af patches, havde angriberne installeret bagdøre, som sikrede dem vedvarende adgang til ofrenes netværk – en latent trussel og et potentielt databrud, der lurede længe efter den officielle afsløring.
Mød Hafnium: Kinesiske specialister i amerikansk spionage
Tidslinje
5. januar 2021
Microsoft wird informiert
Microsoft erhält erste Informationen über die Schwachstellen in Exchange Server von Sicherheitsforschern.
6. januar 2021
Erste dokumentierte Angriffe
Logdaten zeigen erste Hafnium-Angriffe auf ausgewählte Ziele in den USA und Europa. Gezielte Exfiltration von E-Mail-Postfächern beginnt.
2. marts 2021
Microsoft veröffentlicht Patches
Microsoft macht die Schwachstellen öffentlich und veröffentlicht Sicherheitsupdates für Exchange Server. Zehntausende Server bereits kompromittiert.
3. marts 2021
Massenangriffe beginnen
Nach Veröffentlichung der Patches beginnen verschiedene Hackergruppen massenhaft ungepatchte Server anzugreifen. Eskalation zu globalem Sicherheitsnotstand.
10. marts 2021
Über 250.000 Server betroffen
Sicherheitsforscher schätzen, dass weltweit über 250.000 Exchange-Server kompromittiert wurden. Ransomware-Angriffe nehmen zu.
19. juli 2021
Offizielle Attribution an China
USA, EU und Verbündete machen China offiziell für die Hafnium-Angriffe verantwortlich. Diplomatische Spannungen nehmen zu.
Microsoft Exchange Server, en vital del af utallige organisationers kommunikationsinfrastruktur, har længe været et yndet mål for avancerede statslige aktører. Hafnium, som Microsoft beskrev som en "højt specialiseret og sofistikeret" gruppe tilknyttet Kinas Ministerium for Statssikkerhed, menes at have opereret relativt uopdaget siden 2010'erne. Deres primære mål for spionage var typisk enheder i USA inden for kritisk infrastruktur, såsom biovidenskab, forsvarsindustrien og menneskerettighedsorganisationer, med det formål at indsamle følsomme efterretninger.
Tekniske detaljer: Sårbarheder der gav Hafnium adgang
Dette sofistikerede hacking-angreb udnyttede fire specifikke sårbarheder, samlet kendt som ProxyLogon, der i kombination var yderst potente. Først blev en Server-Side Request Forgery (CVE-2021-26855) udnyttet til at omgå autentificering og opnå administratoradgang. Dernæst blev en fejl i Unified Messaging-tjenesten (CVE-2021-26857) brugt til fjernstyret kodeudførelse, mens to sårbarheder til filskrivning (CVE-2021-26858 og CVE-2021-27065) muliggjorde installationen af webshells. Disse små, ondsindede scripts, herunder det berygtede China Chopper, gav angriberne vedvarende bagdørsadgang. En kritisk faktor var, at angrebene kunne udføres via standard HTTPS-port 443, hvilket gjorde dem svære at adskille fra legitim, krypteret internet-trafik.
Tidlig januar 2021: Hafnium stjal postkasser, Microsoft blev informeret
Loganalyser fra sikkerhedsfirmaer indikerer, at de tidlige faser af cyberangrebet startede allerede den 6. januar 2021. Her fokuserede Hafnium på at udtrække komplette postkasser fra nøje udvalgte, højt profilerede mål, primært i USA og Europa, hvilket udgjorde et alvorligt databrud. Microsoft blev informeret om sårbarhederne den 5. januar. Patches blev frigivet den 2. marts 2021, ca. to måneder senere.
Patch-paradokset: Microsofts opdatering spredt angreb til andre aktører
Udgivelsen af patchen udløste desværre en uventet eskalering. Både sikkerhedsforskere og andre kriminelle grupper begyndte straks at analysere patchen for at forstå sårbarhedernes funktion – en proces kendt som reverse engineering. Dette åbnede døren for mindst ni andre statssponsorerede og kriminelle aktører, der hurtigt udviklede egne værktøjer til at udnytte fejlene. Resultatet var en eksplosiv global spredning af cyberkriminalitet, der ramte et bredt spektrum af organisationer, inklusive oliefirmaer, IT-leverandører og regeringsorganer, især i Mellemøsten.