Polskie Wojska Obrony Cyberprzestrzeni współpracowały z Microsoft. Działania miały na celu zidentyfikowanie technik, które pozwalają na odczytywanie zawartości skrzynek Microsoft Exchange. Techniki te były wykorzystywane przez rosyjskich hakerów. WOC wraz z Microsoft rozpracowały mechanizm i stworzyły narzędzie do zabezpieczania skrzynek.
Polskie Dowództwo Komponentu Wojsk Obrony Cyberprzestrzeni (DKWOC) oraz Microsoft publikują komunikaty o zagrożeniach dla skrzynek Microsoft Exchange. Obie jednostki współpracowały ze sobą, dla rozszyfrowania technik, które to umożliwiają i stworzenia zabezpieczeń przez takimi działaniami.
Techniki wykorzystywali rosyjscy hakerzy, którzy poprzez zmiany w uprawnieniach dostępu do folderów w skrzynkach pocztowych mogli podglądać zawartość obcych skrzynek. W ten sposób mogli także sprawdzać zawartość skrzynek firm czy instytucji państwowych na całym świecie.
WOC rozszyfrowuje wrogie działania
Analizy przeprowadzone przez WOC potwierdziły, że przeciwko podmiotom publicznym oraz prywatnym prowadzone były tego typu szkodliwe działania.
W pierwszym etapie, atakujący uzyskuje dostęp do skrzynek pocztowych poprzez ataki typu brute force (+siłowe+ łamanie hasła przez sprawdzanie wszelkich możliwych kombinacji – PAP) lub wykorzystanie podatności usługi Microsoft Exchange (CVE-2023-23397) polegającej na wysłaniu specjalnie spreparowanej wiadomości e-mail i wykradnięciu hasha NTLM, dzięki któremu adwersarz może bez jakiejkolwiek reakcji i wiedzy użytkownika uzyskać dostęp do jego skrzynki pocztowej –czytamy w komunikacie DKWOC.
Następnie przestępcy zmieniali uprawnienia dostępu do poszczególnych folderów takich jak:
– Skrzynka Odbiorcza,
– Wysłane,
– Kopie Robocze.
W większości zaobserwowanych przypadków zmiana uprawnień polegała na nadaniu uprawnień właścicielskich (Owner), pozwalających na odczytanie, pobieranie czy usuwanie wiadomości w folderze (ale bez możliwości wysłania wiadomości), grupie uwierzytelnionych użytkowników (grupa Default). W efekcie, każdy użytkownik posiadający konto w tej samej organizacji, mógł odczytać zawartość folderów użytkownika, którego uprawnienia dostępu do folderów zostały tak zmodyfikowane – opisuje działania przestępcze DKWOC.
Hakerzy korzystając z mechanizmów modyfikowali uprawnienia do wszystkich folderów w ramach skrzynki pocztowej. Mogli to przeprowadzić w krótkim czasie, nawet w ciągu kilku sekund
W przypadkach zaobserwowanych przez DKWOC, adwersarz modyfikował w taki sposób foldery w skrzynce użytkownika, który stanowił dla niego wartościowe źródło informacji, a następnie pobierał zawartość jego skrzynki pocztowej za pośrednictwem innego konta pocztowego, w ramach tej samej organizacji – zaznaczono w komunikacie.
Microsoft potwierdza działania hakerów
Microsoft identyfikuje hakerów atakujących ich skrzynki jako powiązaną z rosyjskim GRU grupę hakerską „Forest Blizzard”. Wykorzystują oni tzw. krytyczną podatność CVE-2023-23397 w systemach Microsoftu. Zgodnie z komunikatem Microsoftu największe zainteresowanie hakerów kierowane było na skrzynki instytucji rządowych zajmujących się energetyką i transportem w USA, Europie oraz na Bliskim Wschodzie.
Na swoim profilu poświęconym cyberbezpieczeństwu na portalu X Microsoft poinformolwał o współpracy z polskimi Wojskami Obrony Cyberprzestrzeni w celu rozpracowania działań hakerskich i wypracowaniu mechanizmów zabezpieczających przed nimi.
Dziękujemy DKWOC za partnerstwo i współpracę w tej kwestii – napisał Microsoft.
WOC tworzy ochronę skrzynek email
Po rozpracowaniu mechanizmów ataków na skrzynki email postanowiono stworzyć zabezpieczenia, które będą przed tym chronić. W ramach Krajowego Systemu Cyberbezpieczeństwa podjęto działania w porozumieniu z CSIRT MON, CSIRT GOV, CSIRT NASK, SKW oraz Microsoft. Opracowano narzędzia do zastosowania w środowisku pocztowym Microsoft Exchange, które będą chronić skrzynki przed podobnymi atakami.
Jest to tym ważniejsze, że komunikat o rozpracowaniu technik hakerskich uzupełniono informacją, że może ona wciąż być stosowana i wykorzystywana do odczytywania treści z folderów w skrzynkach email.
W związku z powyższym DKWOC rekomenduje wykorzystanie opracowanych narzędzi oraz wdrożenie środków zaradczych zgodnie z załączonymi instrukcjami. Opracowane narzędzia stanowią autorskie rozwiązanie DKWOC pozwalające na weryfikację wystąpienia modyfikacji folderów pocztowych oraz przywrócenie pożądanych ustawień dostępu w środowiskach pocztowych MS Exchange o infrastrukturze: +on-prem+, hybrydowej oraz chmurowej – czytamy w komunikacie DKWOC.
Dokładny opis działania mechanizmu opisano na stronie Wojska Polskiego.
Źródło: Wojsko Polskie, Wirtualne Media