Au moins 30 000 organismes américains (dont un nombre important de petites entreprises, villes et gouvernements locaux) ont été piratés ces derniers jours par une unité chinoise de cyberespionnage « inhabituellement agressive », révèle KrebsOnSecurity.
Le 2 mars, Microsoft avait publié des mises à jour de sécurité d'urgence pour combler quatre failles 0-day dans les versions d'Exchange Server 2010 à 2019 que les pirates utilisaient activement pour siphonner les communications par courrier électronique.
S'exprimant sous couvert d'anonymat, deux experts en cybersécurité – qui ont informé les conseillers américains de la sécurité nationale de l'attaque – ont déclaré à KrebsOnSecurity que le groupe de piratage chinois présumé responsable avait pris le contrôle de « centaines de milliers » de serveurs Microsoft Exchange dans le monde.
Microsoft a déclaré que les failles d'Exchange étaient ciblées par une équipe de piratage opérant depuis la Chine – surnommée « Hafnium » – et déclaré que le groupe avait mené des attaques ciblées sur des systèmes de messagerie utilisés par de nombreux secteurs industriels, y compris des chercheurs en maladies infectieuses, des cabinets d'avocats, établissements d'enseignement, marchands d'armes, think tanks politiques et ONG.
Steven Adair, le président de Volexity, la société qui a identifié les vulnérabilités, estime que « même si vous avez mis à jour les correctifs, il y a toujours de fortes chances qu'il y ait un shell Web sur votre serveur. La vérité est que si vous exécutez Exchange et que vous n’avez pas encore corrigé cela, il y a de très fortes chances que votre organisation soit déjà compromise »
Des chercheurs en sécurité ont publié plusieurs outils pour détecter les serveurs vulnérables. L'un d’entre eux, un script de Kevin Beaumont de Microsoft, est disponible sur Github.
