Den store nyheten denne måneden var kompromitteringen av titusenvis av Exchange-servere over hele verden. Microsoft meldte 2. mars om at avanserte angripere brukte fire nye og til da ukjente svakheter til å kompromittere Exchange-servere som var eksponert mot Internet. Exchange-tjenester hostet hos Microsoft var ikke rammet. Angrepene startet egentlig så tidlig som 6. januar og i begynnelsen var det den kinesiske APT-gruppen Hafnium som stod bak angrepene, som for det meste rammet mål i USA. Det er trolig spionasje som var formålet med operasjonen. Microsoft ga raskt ut patcher for svakhetene som ble utnyttet, men i de påfølgende dagene fikk flere trusselaktører tak i verktøyene for å utnytte svakhetene. Exchange-servere som ikke hadde blitt patchet ble kompromittert og disse ble brukt som brohode inn i mange bedrifter for å stjele data, installere programvare for å utvinne kryptovaluta eller å ta ned hele bedriften ved hjelp av ransomware.
Beskrivelsen er hentet ut i fra Telenor TSOC blogg.
https://telenorsoc.blogspot.com/2021/04/oppsummering-av-nyhetsbildet-innen.html
Det kan se ut som at den første del av dette angrepet ikke var rettet mot spesifikt mot Stortinget, det dreide seg heller om en global bølge av angrep mot Microsoft Excange Server (mail server). Så kommer i neste omgang et angrep mot Det Norske Stortinget.
I forbindelse med angrepet mot Exchange-serverne ble Stortinget kompromittert for andre gang i løpet av få måneder. Angrepet er under etterforskning og det er bekreftet at data fra eposter har blitt hentet ut. Etter at angrepet ble kjent gikk Stortinget ut og opplyste om at alle sikringstiltakene som ble vedtatt gjennomført etter det forrige angrepet nå har blitt gjennomført.
Kilden for dette siste sitatet er den samme artikkelen hos Telenot sin TSOC blogg.
Jeg har prøvd å se litt på hvordan dette angrepet ble gjennomført, rent teknisk. Det kan se ut som at angrepet har skjedd gjennom de porter og “kommunikasjonskanaler” som vanligvis vil stå åpen hos en mail-server og som brukes til å transportere og framsende mail. Disse svakhetene eller feilene ved MS Exchange serverne skal nå være rettet opp via “patches”.
En annen side ved saken, det er at det kan se ut som at det i forbindelse med dette angrepet ikke bare har vært mulig å hente ut opplysninger fra, eller å manipulere mail, det har også vært mulig å opprette systembrukere på noen av mailserverne som så kan brukes for videre angrep mot det lokale nettverkets infrastruktur.
Artikler på web:
Jeg vil forsøke å samle sammen noen linker som gir litt mer informasjon om dette angrepet: