HAFNIUM
HAFNIUM est la désignation donnée par Microsoft à un nouveau groupe de hackers qui serait situé en Chine et soutenu par le gouvernement chinois. Les hackers HAFNIUM montrent des niveaux élevés de compétence et de sophistication dans leurs opérations malveillantes. L'objectif principal de cet acteur de la menace a été l'exfiltration de données sensibles d'entités aux États-Unis. Les victimes ciblées sont réparties dans plusieurs secteurs industriels et vont des cabinets d'avocats, des établissements d'enseignement et des chercheurs sur les maladies aux entrepreneurs de la défense et aux ONG (organisations non gouvernementales). Bien qu'étant basé en Chine, HAFNIUM a incorporé des VPS (Virtual Private Servers) loués aux États-Unis dans le cadre de ses opérations malveillantes.
Les analystes en cybersécurité de Microsoft surveillaient déjà l'activité de HAFNIUM depuis un certain temps avant de décider de rendre publiques leurs conclusions à la suite de la dernière campagne d'attaque menée par l'acteur de la menace. HAFNIUM a exploité quatre vulnérabilités zero-day qui affectaient le logiciel Exchange Server sur site. Les vulnérabilités découvertes ont été suivies comme CVE-2021-26855, CVE-2021-26857, CVE-2021-26858 et CVE-2021-27065, et représentaient une faille de sécurité si grave que Microsoft a publié plusieurs mises à jour urgentes pour résoudre le problème.
La chaîne d'attaque de cette opération HAFNIUM comprend trois étapes. Premièrement, les pirates informatiques enfreignent la cible via les quatre exploits zero-day ou en ayant accès à des informations d'identification volées. Une fois à l'intérieur, ils créeraient un shell Web permettant le contrôle à distance du serveur compromis. Au cours de la dernière étape, l'acteur de la menace aurait accès aux comptes de messagerie et téléchargerait le carnet d'adresses en mode hors connexion Exchange contenant diverses informations sur l'organisation victime et ses utilisateurs. Les données choisies seraient collectées dans des fichiers d'archive tels que .7z et .ZIP, puis exfiltrées. Dans les campagnes précédentes, HAFNIUM a souvent téléchargé les informations collectées auprès de ses victimes sur des sites tiers de partage de données tels que MEGA.
Le shell Web permet également de déposer des charges utiles de logiciels malveillants supplémentaires sur le serveur piraté, susceptibles de garantir un accès prolongé au système de la victime.
Les clients qui utilisent Exchange Server sur site sont vivement encouragés à installer les mises à jour de sécurité publiées par Microsoft et à consulter le blog de sécurité de l'entreprise où de nombreux IoC (Indicators of Compromise) ont été détaillés.
Les informations sur l'attaque HAFNIUM étant devenues publiques, il n'a pas fallu longtemps aux autres groupes de hackers pour commencer à abuser des quatre mêmes vulnérabilités zero-day dans leurs propres opérations. En neuf jours seulement après la révélation des exploits, Microsoft a détecté qu'un acteur menaçant avait commencé à répandre une nouvelle souche de ransomware appelée DearCry, montrant à quel point les cybercriminels sont devenus rapides dans l'ajustement de leur infrastructure pour intégrer les faiblesses de sécurité nouvellement découvertes.
