‘Minstens tien hackersgroepen misbruiken Exchange-incident’

Er is niet één hackersgroep die de kwetsbaarheid in Microsoft Exchange misbruikt, maar minstens tien, waarschuwt beveiliger ESET, en die zijn al langer dan vorige week actief.

De omvang van de kwetsbaarheid in Exchange oogt elke dag groter. Onder meer het Noorse parlement zegt dat er data werden gestolen via de kwetsbaarheid. Ook twee Duitse (niet nader genoemde) federale autoriteiten zouden getroffen zijn. In België zijn geen namen bekend, maar volgens het CCB zijn er minstens drie gecompromitteerde bedrijven.

Maar dat lijkt niet het werk van één hackersgroep. Beveiligingsbedrijf ESET zegt tegenover Reuters dat er zeker tien groepen actief zijn. Ook FireEye zegt meerdere groepen te zien die de kwetsbaarheid in Exchange misbruiken.

Actief voor publieke bekendmaking

Maar wat extra ongewoon is, is dat verschillende van hen al actief waren voor Microsoft op 2 maart waarschuwde voor het probleem. Dat wil zeggen dat informatie over de kwetsbaarheid is gelekt, of rond dezelfde tijd werd ontdekt door een externe partij die ze doorspeelde aan verschillende hackersgroepen.

Technisch gezien zijn beide scenario’s niet uitgesloten. Het incident werd al op 5 januari gemeld aan Microsoft door Taiwanese securityonderzoekers en gezien de populariteit van Exchange is het denkbaar dat hackers regelmatig proberen de software te compromitteren.

Timing niet ongewoon, omvang wel

Doorgaans wordt zo’n kwetsbaarheid pas openbaar gemaakt na enkele maanden wanneer de softwaremaker een patch klaar heeft, zoals nu het geval is. Dat hackers hetzelfde lek ontdekken of informatie er over bemachtigen is dus niet uniek. Maar dat meerdere groepen dat doen is uiterst zeldzaam.

Het hoofddoel van de meeste hackersgroepen lijkt toegang tot de netwerken krijgen en het stelen van informatie. Al is er ook één groep die zich lijkt toe te leggen op het inzetten van gehackte computers voor cryptomining.

Hoewel patchen van cruciaal belang is, is het ook belangrijk dat serverbeheerders extra controles uitvoeren. Als hackers voor het patchen zijn binnengeraakt, blijven ze immers toegang hebben.