- Hackeri zneužili vážne narušenie SharePointu na infiltráciu globálnych systémov, pričom sa zamerali na vlády, korporácie a univerzity.
- Spoločnosť Microsoft označila skupiny prepojené s Čínou za hlavných vinníkov, hoci túto chybu zneužili aj iní zločinci.
- Oprava vydaná spoločnosťou Microsoft úplne nezablokovala útoky a umožnila trvalý prístup aj po aktualizácii.
- Desiatky významných organizácií boli napadnuté, najmä v Spojených štátoch a Európe, zatiaľ čo vyšetrovania pokračujú.
V posledných týždňoch a vlna kybernetických útokov zameraných na softvér spoločnosti MicrosoftMedzi inštitúciami a spoločnosťami na celom svete narastajú obavy po tom, čo bola v SharePointe, systéme správy dokumentov, ktorý hojne používajú vládne aj súkromné organizácie, identifikovaná zraniteľnosť. Táto chyba, ktorá bola hodnotená ako veľmi závažná, umožnila neoprávnený prístup k citlivým informáciám v mnohých krajinách.
Prvé náznaky naznačujú, že Stovky serverov boli napadnuté, čo ovplyvnilo vládne agentúry, vzdelávacie inštitúcie a súkromný sektor. Incident vyvolal okamžitú reakciu zo strany úradov aj samotnej spoločnosti Microsoft, ktorá sa snaží obmedziť dopad tohto sofistikovaného útoku.
Útok spúšťa narušenie SharePointu
Počas mesiaca júl niekoľko medzinárodné tímy kybernetickej bezpečnosti Zistili zraniteľnosť v platforme SharePoint, ktorá sa používa na ukladanie a zdieľanie interných dokumentov. Narušenie umožnilo útočníkom ukradnúť prístupové údaje – vrátane používateľských mien, hesiel a šifrovaných údajov – a preniknúť do interných sietí významných organizácií.
La Zlyhanie bolo klasifikované ako „nultý deň“., teda v čase zneužitia útočníkmi neznáme a nevyriešené. Počiatočné vyšetrovania spájajú hackerské útoky so stovkami serverov nachádzajúcich sa v USA, Nemecku, Spojenom kráľovstve, Španielsku, Švajčiarsku, Brazílii, Kanade, Južnej Afrike a ďalších regiónoch.
Samotný Microsoft vydal bezpečnostnú záplatu sa snažia uzavrieť dieru, ale odborníci varujú, že útočníci našli spôsoby, ako sa vyhnúť nápravným opatreniam. Konkrétne boli zistené techniky, ktoré umožňujú zadné vrátka funkčné aj po aktualizáciách, čo hackerom zaručuje trvalý prístup.
Aktéri a geopolitické dôsledky
Podľa správ Hlavné skupiny identifikované za útokmi boli spojené s čínskou vládouSpoločnosť Microsoft identifikovala konkrétne skupiny známe ako Linen Typhoon, Violet Typhoon a Storm-2603. Predpokladá sa, že tieto organizácie pôsobili ako súčasť zorganizovanej kybernetickej špionážnej kampane s cieľom infiltrovať verejné agentúry, univerzity, nemocnice a strategické energetické spoločnosti na niekoľkých kontinentoch.
Táto záležitosť vyvolala diplomatické napätie odvtedy Čínske veľvyslanectvo akúkoľvek súvislosť popiera a odmieta obvinenia z kybernetického útoku a pred vynesením rozsudku požaduje hmatateľné dôkazy. Vyšetrovania stále prebiehajú, ale zdroje z oblasti kybernetickej bezpečnosti a západné vlády trvajú na tom, že Vzory používané v zhode s taktikami, ktoré sa predtým pripisovali čínskym hercom.
Americké subjekty ako FBI a Agentúra pre kybernetickú bezpečnosť a bezpečnosť infraštruktúry (CISA) potvrdili, že aktívne spolupracujú na potlačení hrozby a obmedzení počtu napadnutých organizácií.
Rozsah a reakcia spoločnosti Microsoft
La rozsah vplyvu zostáva neistý, ale priamy dopad na subjekty, ako je Ministerstvo školstva USA, Ministerstvo financií Floridy, Valné zhromaždenie Rhode Islandu a agentúra zodpovedná za americký jadrový arzenál, je už známy. Incidenty boli zistené aj v Španielsku, na Blízkom východe a v Ázii a postihli všetko od univerzít až po energetické spoločnosti.
Stovky organizácií boli upozornený na rizikoa odhaduje sa, že Mohlo by byť odhalených viac ako 10.000 XNUMX serverov, podľa odhadov konzultovaných špecialistov. Incident zdôrazňuje dôležitosť posilnenia kultúry kybernetickej bezpečnosti a rýchlej reakcie na zraniteľnosti v kritickom softvéri, najmä ak existujú integrácie s inými platformami spoločnosti Microsoft ako napríklad Office, Teams a OneDrive, čo rozširuje oblasť útoku.
Spoločnosť Microsoft zopakovala svoje záväzok k bezpečnosti a naďalej vyvíja nové aktualizácie, hoci si uvedomuje, že táto výzva je obzvlášť zložitá vzhľadom na hĺbku integrácie jej produktov.
Taktika a dôsledky útokov
Kampaň proti vniknutiu sa vyznačovala tým, že rýchlosť šírenia a použitie sofistikovaných metódHackeri nainštalovali upravené komponenty a zadné dvere na postihnutých systémoch, čo im umožňuje znovu získať prístup aj po reštarte servera alebo oprave.
Bolo tiež zistené Masívna krádež prihlasovacích údajov a inštalácia škodlivého softvéru schopné vydávať sa za jednotlivcov a udržiavať si dlhodobý prístup. Medzi používané techniky patrí zneužívanie zraniteľností typu „zero-day“ a distribúcia digitálnych údajov viacerým obetiam z rôznych sektorov.
Spoločnosti ako CrowdStrike, Mandiant a Eye Security zohrali kľúčovú úlohu pri detekcii a analýze útoku a varovali pred možnosťou, že viac zločineckých skupín sa snaží využiť tú istú medzeru v blízkej budúcnosti.
Neustále sa vyvíjajúca globálna výzva
Globálny rozmer tejto epizódy a neustály prílev nových obetí demonštrujú rýchla eskalácia kybernetických útokov zameraných na kritickú infraštruktúruVyšetrovania stále prebiehajú a pozorovatelia tvrdia, že je možné, že aj iné skupiny, než tie, ktoré boli pôvodne identifikované, by mohli využiť rovnaké otvorené dvere, kým sa organizácie dokončia chrániť.
Vzhľadom na rozsah hrozby úrady naliehavo žiadajú všetky spoločnosti a oddelenia závislé od samostatne hosťované servery SharePoint , skontrolujte prístup a hľadajte známky podozrivej aktivity. Vytrvalosť a kreativita útočníkov jasne ukazujú, že kybernetická bezpečnosť je beh na dlhé trate, kde prevencia zostáva najbezpečnejšou voľbou.