Istraživači iz oblasti sajber bezbjednosti otkrili su da grupa poznata kao NightEagle APT, navodno povezana sa Kinom, zloupotrebljava ranjivost “nultog dana” u Microsoft Exchange serverima. Ova sofisticirana operacija usmjerena je na ključne sektore, uključujući vladine institucije, odbrambenu industriju i tehnološke kompanije u Kini. Napad iskorištava neotkrivenu grešku u softveru Microsoft Exchange, što omogućava grupi da dobije neovlašteni pristup osjetljivim podacima.
Informacija o ovom napadu prvi put je objavljena na platformi X (ranije poznatoj kao Twitter), a detaljnije objašnjenje sa tehničkim analizama dostupno je na zvaničnom blogu kompanije za sajber bezbjednost Mandiant. Upozorenje naglašava da ova grupa neprekidno razvija svoje tehnike i da je uspjela da izbjegne ranija otkrivanja zahvaljujući korištenju ranjivosti koja ranije nije bila poznata.
Metodologija napada, opisana na popularan i razumljiv način, uključuje tajno ubacivanje zlonamjernog koda u ciljane sisteme. Ova grupa uspijeva da zavara žrtve tako što se predstavlja kao legitimni korisnik ili se koristi već postojećim pristupom unutar mreže. Primjer tog uvjerljivog mamca može biti slanje lažnih e-poruka koje izgledaju kao zvanične obavijesti od pouzdanih izvora, podstičući korisnike da kliknu na link koji pokreće zlonamjerni softver ili da otvore zaraženi dokument.
Detalji incidenta ukazuju na to da je napad izveden uz veliku preciznost, iskorištavajući specifičnu ranjivost u načinu na koji Microsoft Exchange serveri obrađuju određene vrste podataka. Mamac za korisnike je pažljivo kreiran kako bi se iskoristili ljudski faktor i potencijalni propusti u obuci zaposlenih o sajber bezbjednosti. Prevaranti su uspjeli da učine prevaru uvjerljivom tako što su prilagodili svoje poruke i postupke da odgovaraju uobičajenim poslovnim procedurama, čime su smanjili sumnju kod potencijalnih žrtava.
Važno je naglasiti da se sve veći broj sofisticiranih sajber napada, kao što je ovaj koji izvodi NightEagle APT, fokusira na iskorištavanje specifičnih slabosti u softveru prije nego što one budu javno objelodanjene. Ovakvi napadi, koji se oslanjaju na takozvane “zero-day” ranjivosti, predstavljaju poseban izazov za sajber bezbjednosne stručnjake, jer zahtijevaju proaktivno djelovanje i stalno ažuriranje sistema.
