Um grupo de espionagem cibernética ligado à China tem saqueado remotamente caixas de entrada de e-mails usando falhas recentemente descobertas no software de servidor de e-mail da Microsoft, divulgaram na terça-feira a empresa e pesquisadores externos – um exemplo de como o uso comum de programas podem ser usados para moldar uma ampla rede online.
Em um blog, a Microsoft disse que a ação dos hackers fez uso de quatro vulnerabilidades não detectadas anteriormente em diferentes versões do software e foi o trabalho de um grupo que chama de HAFNIUM, que descreveu como uma entidade patrocinada pelo Estado operando fora da China.
Em uma publicação separada no blog, a empresa de segurança cibernética Volexity disse que em janeiro viu os hackers usarem uma das vulnerabilidades para roubar remotamente "o conteúdo completo de várias caixas de correio de usuário".
Tudo o que eles precisavam saber eram os detalhes do servidor Exchange e da conta que queriam saquear, disse Volexity. A China se opõe a todas as formas de ataques cibernéticos, disse o porta-voz do Ministério das Relações Exteriores da China, Wang Wenbin, em uma coletiva de imprensa em Pequim nesta quarta-feira.
"A China deseja que a mídia e as empresas relevantes assumam uma atitude profissional e responsável e baseiem as caracterizações dos ataques cibernéticos em amplas evidências, em vez de suposições e acusações infundadas", disse ele.
Antes do anúncio da Microsoft, os movimentos cada vez mais agressivos dos hackers começaram a atrair a atenção da comunidade de segurança cibernética. Mike McLellan, diretor de inteligência da Secureworks, da Dell Technologies, disse que antes do anúncio da Microsoft notou um aumento repentino na atividade dos servidores Exchange durante a noite de domingo, com cerca de 10 clientes afetados em sua empresa.
O conjunto de produtos da Microsoft está sob escrutínio desde o ataque à SolarWinds, a empresa de software com sede no Texas que serviu de trampolim para várias intrusões no governo e no setor privado. Em outros casos, os hackers se aproveitaram da maneira como os clientes configuraram seus serviços Microsoft para comprometer seus alvos ou mergulhar ainda mais nas redes afetadas.
Os hackers que perseguiram a SolarWinds também violaram a própria Microsoft, acessando e baixando o código-fonte – incluindo elementos do Exchange, o produto de e-mail e calendário da empresa. McLellan disse que, por enquanto, a atividade de hackers que ele viu parecia focada em disseminar software malicioso e preparar o terreno para uma intrusão potencialmente mais profunda, em vez de se mover agressivamente para as redes imediatamente.
"Não vimos nenhuma atividade subsequente ainda", disse ele. "Vamos encontrar muitas empresas afetadas, mas um número menor de empresas realmente exploradas." A Microsoft disse que os alvos incluem pesquisadores de doenças infecciosas, escritórios de advocacia, instituições de ensino superior, empresas de defesa, grupos de reflexão sobre políticas e grupos não governamentais.