美国的联邦调查局(FBI)、网络安全及基础设施安全局(CISA)、澳洲的网络安全中心(ACSC),以及英国的国家网络安全中心(NCSC)在本周发布了共同声明,披露由伊朗政府所支持的黑客团队正在开采Microsoft Exchange Server与Fortinet的安全漏洞,提醒各界应小心里防备范。
该国家级黑客集团所瞄准的4个安全漏洞分别是存在于Microsoft Exchange Server上的CVE-2021-34473,以及藏匿在Fortinet设备上的CVE-2018-13379、CVE-2020-12812与CVE-2019-5591。
其中,CVE-2021-34473为微软在今年7月修补的安全漏洞,这是一个远程程序攻击漏洞,在修补的当时已曝光,但尚未发现攻击行动。至于Fortinet则早在2019年及2020年,修补了其设备固件FortiOS上的相关漏洞。
调查显示,今年3月FBI与CISA就观察到该黑客团队,正在扫描3个Fortinet设备的漏洞;5月时成功入侵了托管美国市政府域名之服务器的Fortinet防火墙设备FortiGates,还在该服务器上创建自己的用户账号;今年6月时再度借由开采FortiGates,入侵了一家专门从事儿童医疗保健的美国医院;而到了今年的10月,同一黑客团队即开采微软刚修补的CVE-2021-34473,以作为进入受害系统的跳板。
不只是美国的组织受黑,ACSC发现同一黑客团队也试图于澳洲开采CVE-2021-34473漏洞。
值得注意的是,FBI、CISA、ACSC与NCSC认为,该黑客团队并没有特定的攻击目标,而是专门开采已知的安全漏洞,接下来的恶意行为包括窃取资料、加密资料,以及植入勒索软件。
此外,黑客渗透到受害系统之后,通常会创建自己的账号,而且会依照该系统既有的账号命名,以掩人耳目,作为日后访问之用。
上述的网络安全机构建议使用Exchange Server与Fortinet产品的组织,应该要检查其内部网络的可疑行动,包括搜索危害指标,调查有否暴露的Exchange Server,检查RDP、防火墙及Windows远程管理等配置,是否允许黑客长期访问,也应检查陌生的用户名称,或是确保杀毒软件是否正常运行等。