網絡攻擊變政治泥漿 黑客自動化搜尋目標

據Barracuda的數據，Exchange漏洞被公開後，網上的攻擊一度急升，大部分攻擊乃自動化掃描，並未非針對性攻擊。

新科技速遞

本周，美國及主要盟友指責中國政府聘用黑客，入侵多家西方機構的Exchange電郵系統發動攻擊，美國估計約有30,000家機構遭攻擊。

但是不少有關研究，並未將矛頭指向中國，從攻擊手法亦不似是主權國家所為，反而是因為漏洞在堵塞前泄露，給予黑客可乘之機，西方國家的反華，已是欲加之罪。

Exchange為全球最流行的電郵系統，由於黑客針對不同Exchange版本的四個漏洞，遙距入侵微軟電郵的伺服器竊取電郵內容，近月導致了多宗入侵。Microsoft指責中國政府是幕後主腦，而美國政府亦指責，中國政府有份資助Hafnium黑客組織發動攻擊。

上周白宮一名高級官員再表示，美國政府「甚有信心」，認為黑客受僱於中國國家安全部，透過攻擊進行勒索、挖礦劫持和盗竊的勾當。

據彭博新聞社報導，向中國提出指控國家；除了《五眼聯盟》；美國、英國、澳洲、加拿大、紐西蘭；亦包括歐盟、日本、北約。歐盟指，攻擊與兩個被稱為Advanced Persistent Threat 40及Advanced Persistent Threat 31黑客組織亦有關連。

一時間，中國千夫所指，成為網絡犯罪的幕後黑手。

Barracuda研究人員透過分析攻擊模式，發現大多數攻擊者即使執行攻擊，亦會在周末暫停攻擊，非常有規律，可能透過機械人自動化執行。

動機耐人尋味

Hafnium漏洞2021年3月首次公開披露，但其實台灣的網絡安全研究機構DEVCORE，早於2020年12月就發現Exchange漏洞，隨即知會了Microsoft；但Microsoft卻直至2021年3月才公開漏洞訊息並發出修補，其間的3個月內，漏洞卻不知為何外泄，結果多家機構不知情下，電郵系統遭入侵。

Microsoft堵塞漏洞反應遲緩，機事不密，表現已備受批評。後來，不知何故矛頭轉向中國國家安全部；Hafnium入侵工具在開源網站，唾手可得，發現漏洞又非中國機構，本港亦有多家機構遭入侵，中國境內超過600部Exchange受攻擊，Hafnium似乎不只針對美國。

研究機構發現，黑客以自動化掃描發動攻擊。中國願意「資助」Hafnium犯罪活動，或者「分享」漏洞，其中動機，已耐人尋味。

Barracuda發表報告，指過去兩個月，Barracuda安全防護系統阻截到自動化掃描和攻擊，從每天數十萬次，曾激增至數百萬次，當中每天數千個掃描針對最近修補的Microsoft和VMware漏洞。

Barracuda保護全球不少企業電郵，並沒指漏洞與中國政府有何關連，而其他美國網絡安全研究機構Volexity及CrowdStrike等，亦未獲得相同結論，歐美政府的「證據」；可能只是Microsoft情報網絡部門的推測。

自動化攻擊機械人執行

今年年初，全球數以萬計針對Exchange漏洞攻擊，都透過Exchange伺服器中存在的伺服器端請求偽造（SSRF）漏洞，攻擊者發送HTTP 請求，並向Exchange伺服器進行身份認證，上述過程多數已不經人手，透過機械人自動執行。

從公開資料顯示，「Hafnium」能夠識別易受攻擊的系統，其餘漏洞似乎亦與該漏洞有相關聯；包括將 web shell 放入被利用系統中，以獲得存取權限，作進一步攻擊。Hafnium利用已知漏洞製作一般性攻擊，國家級的攻擊，則多針對性作部署，以獲得情報或機密。

Barracuda研究人員分析攻擊模式，發現大多數為自動化的攻擊，會在周末暫停。Barracuda發現機械人（Bot）按照工作日才執行攻擊，原因可能是因工作日發動攻擊，網絡有正常工作活動，較易於隱藏，週末使用率較低，向系統發動攻擊容易觸發警報。

然而，研究亦發現命令注入攻擊最多，Barracuda發現針對Windows命令注入攻擊，6月的兩週內達到頂峰，然後回落至正常水平。