Beheer

Security
Exchange server

'Chinese hackers vielen tienduizenden bedrijven VS aan'

Hackers voeren tempo op na waarschuwingen aan beheerders.

© Microsoft
8 maart 2021

Hackers voeren tempo op na waarschuwingen aan beheerders.

Chinese staatshackers hebben dankzij een gat in Microsofts e-mailplatform Exchange Server ongeveer 30.000 organisaties in de Verenigde Staten aangevallen. Het gaat onder meer om banken, telecomproviders, de politie, nutsbedrijven, ziekenhuizen en lokale overheden.

Dat meldt de gezaghebbende techjournalist Brian Krebs op basis van bronnen. Wereldwijd zou het gaan om honderdduizenden organisaties. De hackers zouden hun e-mailsystemen hebben overgenomen. Het Witte Huis zei eerder vrijdag bezorgd te zijn dat er veel slachtoffers zijn. Ook in Nederland zijn er organisaties slachtoffer van de hackers. "Als je organisatie een Outlook Web Access (OWA) [een Echange-server in eigen beheer, red] heeft, ga dan uit van een aanval tussen 26 februari en 3 maart", zegt Krebs in een Twitterbericht.

Microsoft waarschuwde vorige week dinsdag voor de kwetsbaarheid en stelde patches beschikbaar. In Nederland werd die waarschuwing vrijdag verspreid door het Nationaal Cyber Security Centrum (NCSC) van het ministerie van Justitie en Veiligheid. Volgens het centrum is het gat ook in Nederland actief gebruikt. Het dringend advies is te controleren of er misbruik is gemaakt van de bug. Microsoft heeft daarvoor Power shell scripts beschikbaar gesteld.

Heel snel nog slachtoffers maken

Sinds de internationale waarschuwing zouden de hackers hun aanvallen hebben opgevoerd, om zo snel mogelijk nog zo veel mogelijk slachtoffers te maken. Ze installeerden ook eigen software waarmee ze later weer toegang tot getroffen systemen zouden kunnen krijgen.

De aanval wordt toegeschreven aan een nieuwe hackersgroep die de naam Hafnium heeft gekregen. De groep zou banden hebben met de Chinese autoriteiten. De aanvallen zouden vooral gericht zijn op wetenschappelijke instellingen, defensiebedrijven, denktanks en niet-gouvernementele organisaties.

Krebs voegt daar de waarschuwing aan toe dat ransomware-groepen waarschijnlijk ook gebruik maken van de kwetsbaarheden gezien het relatief gemak waarmee ze te misbruiken zijn. Sommige gecompromitteerde Exchange servers blijken ook onderdelen te bevatten van crypromining software genaamd DLTminer, zegt IT-beveiliger Red Canary op Twitter.

Lees meer over
Lees meer over Beheer OP AG Intelligence
1
Reacties
Bop 30 maart 2021 17:58

Ik zie in mijn IIS-logs vaak vissen naar iets met 'OWA'.
Standaard of nieuw?

Nouja, Chinezen hè.
Maar verontwaardigd als ze erop aangesproken worden.
Of op mensenrechten, imperialisme, genocide, ...

Komen we op de Russen, ...

Reactie toevoegen
De inhoud van dit veld is privé en zal niet openbaar worden gemaakt.