ESET：至少十个，主要是国家支持的，黑客组织正在利用Microsoft Exchange漏洞，超过115个国家的数千个服务器

起初中国黑客跑了一场谨慎的运动。两个月后，他们在Microsoft Exchange电子邮件服务器中开发了弱点，仔细选择了他们的目标，并悄悄地窃取整个邮箱。当调查人员最终被捕获时，它看起来像典型的在线间谍活动 - 但随后事情会急剧加速。

2月26日左右，狭窄的操作变成了更大，更混乱的东西。就在几天之后，微软公开披露了黑客 - 黑客现在被称为铪 - 并发出安全修复。但是，攻击者正在寻找整个互联网上的目标：除了在美国数万报告的受害者之外，世界各地的政府都在宣布他们也受到损害。根据安全公司ESET，现在至少有10名政府支持的网络 - 间谍团队，其中大多数政府支持的网络 - 间谍团队，正在利用115多个国家的数千个服务器的漏洞。

虽然Joe Biden总统考虑了对俄罗斯黑客的攻击，其对另一家软件公司的攻击，Solarwinds在12月成为公众，但铪黑客已成为一个巨大的自由，其后果可能更糟糕。作为专家冲刺闭合中国黑客攻击的洞，官员表示，美国政府密切关注成千上万的新脆弱的服务器 - 以及如何回应中国。

“盖茨对任何想要为您的Exchange服务器和其余的网络做任何事情的坏演员都很开放，”网络安全公司副总裁Sean Koessel说，网络安全事务所帮助发现黑客活动。 “最好的案例是间谍活动 - 只想窃取您的数据的人。最坏的情况是勒索软件进入并在整个网络上部署它。“

两次攻击之间的区别不仅仅是关于技术细节，甚至是哪个国家致力于他们。虽然18,000家公司下载受到妥协的Solarwinds软件，但正品的数量只是大小的分数。与此同时，铪是更加不分青红皂白。

“既开始作为间谍活动，但差异真的就是他们的开展方式，”Silverado政策加速器董事长Dmitri Alperovitch说。 “俄罗斯的Solarwinds竞选非常精心地完成，俄罗斯人在他们关心的目标之后，他们在其他地方关闭了进入，因此他们和其他人都不能进入那些不感兴趣的目标。”

“在2月27日，他们意识到补丁将会出来，他们真的扫描世界妥协每个人。它们留下了Web Shell，现在可以使其他人能够进入这些网络，甚至可能甚至是赎金软件演员。这就是为什么它是高度鲁莽，危险的为什么需要回应。“

霍尼姆运动的开始是“在雷达下，”Koessel说。

大多数安全检查都错过了黑客：只有在运行自己的Microsoft Exchange电子邮件服务器的公司客户的客户端时才发现了庞大的奇怪和特定的互联网流量请求。

一个月长的调查表明，四个罕见的零点漏洞被用来窃取整个邮箱 - 涉及个人和公司的潜在毁灭性，但此时有很少的受害者，损害相对有限。 volexity与微软有关数周的时间来解决漏洞，但Koessel表示他在2月底看到了一个重大变化。不仅受害者的数量开始上升，而且遭遇了黑客群体数量的增加。

目前尚不清楚多家政府黑客群体如何意识到微软发布任何公告前的零天漏洞。那么为什么剥削程度爆炸了？也许，有些建议，黑客可能已经意识到他们的时间差不多了。如果他们确实知道补丁即将到来，他们是如何发现的？

“我认为看到这么多不同的[高级黑客]团体在细节不公开的情况下，看到这么多不同的[高级黑客]小组非常罕见，”Matthieu Faou说，他们将研究进入交流黑客以获得ESET。 “有两种主要可能性，”他说。要么“漏洞的细节，某些漏洞泄露给威胁演员，”或为威胁演员工作的另一个漏洞研究团队“独立发现了同一组漏洞。”

vlexity观看了一个月内的网络内部的Hafnium Lurk，并在Microsoft发布了补丁之前采取了措施踢出踢出措施。这可能是使铪升级的触发器。或者，Alperovitch建议，黑客可能会讨论另一种方式，即贴片是整个行业周围的安全团队，包括微软，定期交流有关漏洞和提前修复的信息。一旦微软宣布公开发布，甚至更多的黑客群体就加入了磨损。

“释放补丁后的第二天，我们开始观察更多的威胁演员扫描和妥协的交换服务器en Masse，”福豆说。除了一个活跃的黑客团体之外，所有这些都是已知的政府支持的黑客团队，专注于间谍活动。 “然而，这是不可避免的，越来越多的威胁演员包括赎金软件运营商，将能够迟早访问漏洞资源，”他说。

随着活动升起的，volexity看到了另一个行为的变化：黑客在他们闯入这些系统时离开了Web壳。这些是简单的黑客工具，允许持久，远程后门访问受感染的机器，因此黑客可以控制它们。它们可以有效，但它们也比较嘈杂，易于发现。

一旦黑客在机器上掉落一个壳牌，他们就可以继续回来，直到它被清洁 - 甚至修复最初的漏洞，以故障清除炮弹。但是Web shell本身几乎没有安全，可以通过其他黑客共同选择 - 首先闯入Exchange服务器并窃取电子邮件，然后攻击整个网络。

“这是一个容易挑选的锁的门，”安全公司Crowdstrike的Cofounder去年离开了公司。

黑客攻击继续增加。微软在星期一释放了罕见的迈出了释放了不支持的交换版本的安全补丁，这通常是太古老而无法获得公司认为攻击的严重态度。微软已拒绝评论。

虽然白宫的重量响应，但风险增长了。拜登政府正在慢慢处理Solarwinds的复杂间谍，但铪黑客的混乱完全呈现出不同的挑战 - 在修复问题并响应其背后的黑客时呈现出不同的挑战。

“需要是一条消息，即送到中国人，这是不可接受的，”Alperovitch辩称。美国需要清楚地“我们将使他们持责任对利用这次访问的犯罪分子产生的任何损害，”他说，“我们需要推动他们尽快从所有受害者中删除那些网壳。“