Una serie di vulnerabilità di Microsoft Exchange sono state sfruttate da un gruppo di cybercriminali cinesi per accedere alle caselle di posta elettronica delle aziende al fine di sottrarne il contenuto
Sta passando sotto traccia un imponente attacco hacker cinese, in corso da inizio gennaio, volto a colpire aziende di settori strategici quali sanità, industria manifatturiera, banche, energia e telecomunicazioni. L’Italia, secondo i primi dati raccolti, sarebbe uno dei paesi più colpiti dopo Stati Uniti e Turchia, con una serie di conseguenze ancora non calcolabili.
Il gruppo di hacker cinese, sfruttando una falla zero day di Microsoft Exchange, ha iniziato ad infettare server di posta in tutto il mondo. La stessa Microsoft ha comunicato la presenza di questo bug a marzo e ha fornito anche una patch, ossia un aggiornamento informatico per correggerlo. Il problema è che molte aziende non l’hanno installato ancora oppure hanno subito un attacco prima che l’aggiornamento fosse disponibile.
La stessa società di Redmond aveva caldamente invitato tutti i suoi clienti a eseguire l’aggiornamento del software per ricevere così le patch che andavano a riparare le vulnerabilità e a escludere i possibili rischi d’intrusione.
Quattro le vulnerabilità individuate
Le vulnerabilità individuate in questi software sono almeno quattro e una in particolare, quella identificata con il codice CVE-2021-26855, è stata utilizzata per compiere degli attacchi informatici che hanno permesso agli hacker cinesi di sottrarre l’intero contenuto di numerosi account di posta elettronica.
Per compiere la violazione, l’attacco hacker cinese ha sfruttato la vulnerabilità per accedere tramite una connessione da remoto attraverso la porta 443, inviando delle richieste http eseguendo un’autenticazione come Exchange Server. Questo bug farebbe parte di una catena di vulnerabilità che, sfruttate nella maniera corretta, avrebbero spalancato le porte delle caselle di posta elettronica.
l gruppo di cybercriminali che sta sfruttando queste vulnerabilità è stato identificato con il nome di Hafnium. “Hafnium opera dalla Cina, ed è la prima volta che parliamo di tali attività. Si tratta di un attore altamente qualificato con capacità ricercate”, spiega Tom Burt, vicepresidente corporate di Microsoft e responsabile del settore Customer Security & Trust, nel report della società. Si tratterebbe quindi di un gruppo di hacker cinesi con interessi in bersagli nei settori di ricerca, della difesa e del settore industriale. Allo stesso modo Hafnium mirerebbe a colpire anche organizzazioni politiche e non governative sempre con lo scopo di compiere attacchi di cyberspionaggio.
Attacco hacker cinese, colpita Wind Tre?
Una nota dell’agenzia stampa internazionale Bloomberg riporta che una grande azienda telefonica avrebbe subito disservizi alla rete interna correlati a questo problema. E il bersaglio potrebbe essere stato essere Wind Tre. La compagnia di telecomunicazioni lo scorso weekend ha avuto diversi problemi sulla rete interna, con limitato accesso ad alcune app, e la causa sarebbe proprio questa. Contattata da Dday.it Wind Tre ha però negato che si sia trattato di un attacco informatico.
L’attacco messo a punto dai cinesi è uno dei più devastanti degli ultimi anni, tanto grave che negli Stati Uniti se ne sta interessando direttamente il presidente Biden. Si parla di una vera bomba a orologeria che deve ancora esplodere e per capire il motivo si dovranno analizzare quelle che sono le singole conseguenze di ogni attacco.
Francesco Marino
Giornalista esperto di tecnologia, da oltre 20 anni si occupa di innovazione, mondo digitale, hardware, software e social. È stato direttore editoriale della rivista scientifica Newton e ha lavorato per 11 anni al Gruppo Sole 24 Ore. È il fondatore e direttore responsabile di Digitalic
