Cụ thể, trong một bài đăng trên trang web ngày 02/3/2021, Microsoft thông báo đã phát hiện ra 4 lỗ hổng zero-day trong các phiên bản phần mềm khác nhau mà nhóm tin tặc Hafnium đã sử dụng để tấn công mạng cục bộ Microsoft Exchange Server.
Hãng công nghệ lớn của Mỹ cho hay, mục tiêu mà nhóm tin tặc nhắm đến là các nhà nghiên cứu bệnh truyền nhiễm, công ty Luật, cơ sở giáo dục đại học, các nhà thầu Quốc phòng, các tổ chức tư vấn chính sách và các nhóm tổ chức phi chính phủ.
Theo Microsoft, các cuộc tấn công diễn ra theo 3 giai đoạn. Đầu tiên, tin tặc lấy được quyền truy cập vào máy chủ Exchange thông qua mật khẩu bị đánh cắp hoặc các lỗ hổng chưa được phát hiện trước đó, giả mạo người có quyền truy cập. Bước tiếp theo, tin tặc tạo ra một tập lệnh chứa mã độc để điều khiển máy chủ bị xâm nhập từ xa. Cuối cùng, chúng sử dụng quyền truy cập từ xa này từ các máy chủ tư nhân ở Mỹ để lấy cắp dữ liệu từ mạng của các tổ chức là nạn nhân.
Hiện không có thông tin cụ thể những tổ chức nào bị ảnh hưởng trong vụ tấn công mạng và liệu tin tặc có lấy cắp được bất kỳ thông tin nào hay không. Tuy nhiên, được biết các cơ quan bị ảnh hưởng đã được thông báo tin này.
Microsoft cũng đặt ra nghi vấn rằng Hafnium có thể có mối quan hệ với chính quyền Trung Quốc. Đại sứ quán Trung Quốc tại Mỹ chưa đưa ra bất kỳ bình luận nào về điều này. Trước đó, Bắc Kinh cũng từng nhiều lần phủ nhận cáo buộc về hoạt động gián điệp mạng mà Mỹ và nhiều quốc gia nghi Trung Quốc có liên quan.
Công ty an ninh mạng Volexity (Mỹ) cho biết, trong tháng 1/2021, nhiều tin tặc đã sử dụng lỗ hổng phần mềm để đánh cắp từ xa toàn bộ nội dung một số hộp thư điện tử của người dùng. Tất cả những gì các tin tặc cần có để thực hiện cuộc tấn công là chi tiết về máy chủ và tài khoản bị đưa vào tầm ngắm, Volexity cho hay.
Các phần mềm của Microsoft đã trở thành chủ đề được quan tâm trong thời gian qua sau vụ việc phần mềm SolarWinds của một công ty Mỹ bị tấn công mạng. Tin tặc đã lợi dụng kẽ hở này để xâm nhập và tấn công hàng loạt hệ thống của chính phủ Mỹ và đơn vị tư nhân.
Mike McLellan, chuyên gia của công ty Dell Technologies Inc's Secureworks (Mỹ) cho biết, ông đã nhận thấy sự gia tăng đột biến trong hoạt động xâm nhập vào các máy chủ các khách hàng của ông vào cuối tuần qua nhằm cài phần mềm độc hại và mở đường cho một cuộc xâm nhập sâu hơn.