Пробивът в сигурността на Microsoft е обхванал стотици фирми и агенции

Броят на компаниите и институциите, компрометирани чрез уязвимост в сървърите SharePoint на Microsoft Corp., нараства рязко. По данни на изследователската компания Eye Security, за броени дни засегнатите са се увеличили над шесткратно.

По последни оценки, хакери са успели да пробият киберзащитата на около 400 правителствени агенции, корпорации и други организации. Миналата седмица същата компания отчете едва 60 случая, посочва се в доклад, предоставен на Bloomberg News.

Според Eye Security, повечето жертви са в Съединените щати, следвани от Мавриций, Йордания, Южна Африка и Нидерландия. Сред засегнатите е и Националната администрация за ядрена сигурност на САЩ – агенцията, отговаряща за проектирането и поддръжката на американския ядрен арсенал, съобщава Bloomberg.

Още по темата

Агенцията за ядрени оръжия на САЩ е засегната от хакерската атака срещу Microsoft

Уязвимост в продукт на Microsoft отключва глобален риск от атаки

Източник, запознат със случая, съобщи, че и Националните институти по здравеопазване са засегнати от атаката. Говорителят на Министерството на здравеопазването и човешките ресурси, Андрю Никсън, увери, че ведомството активно следи, идентифицира и ограничава рисковете, свързани с уязвимостта в SharePoint.

„Към момента нямаме данни за изтичане на информация“, добави той и уточни, че министерството работи съвместно с Microsoft и Агенцията за киберсигурност и сигурност на инфраструктурата на САЩ.

Вестник Washington Post по-рано съобщи, че системите на Националния здравен институт също са били пробити. Междувременно, Министерството на финансите на Южна Африка обяви, че е открило зловреден софтуер в мрежата си и е потърсило помощ от Microsoft, въпреки че всичките му системи и сайтове функционират нормално.

Тази атака е поредният сериозен пробив, за който Microsoft обвинява Китай – на фона на нарастващото напрежение между Вашингтон и Пекин по теми като глобалната сигурност и търговия. САЩ отдавна обвиняват Китай в провеждане на дългогодишни кампании за кражба на правителствени и корпоративни тайни.

Според Вайша Бернард, съосновател на Eye Security, реалният брой на засегнатите може да е значително по-висок, тъй като има и „тихи“ начини за компрометиране, които не оставят видими следи. „Ситуацията се развива динамично, а други опортюнистични нападатели продължават да експлоатират уязвимите сървъри“, коментира тя пред Bloomberg News.

Още по темата

ChatGPT е любимият AI модел на офисите, но Microsoft не е доволен

Сред атакуваните организации преобладават структури от държавната администрация, образованието и ИТ услугите. Засечени са и отделни случаи в Европа, Азия, Близкия изток и Южна Америка.

Свева Сценарели, анализатор на заплахи в Recorded Future Inc., обяснява, че подкрепяните от държави хакерски групи действат поетапно – първоначално с прецизни атаки, а след това с масови прониквания, когато уязвимостта стане публична.
„След първоначалния достъп, те анализират компрометираните цели и дават приоритет на онези, които представляват особен интерес“, казва тя. Този подход включва запазване на достъпа, проникване в дълбочина и кражба на чувствителна информация.

Министърът на финансите на САЩ, Скот Бесент, заяви пред Bloomberg, че темата вероятно ще бъде обсъдена следващата седмица по време на търговските преговори с Китай в Стокхолм. „Подобни въпроси неизбежно ще бъдат на дневен ред“, отбеляза той.

Уязвимостта в SharePoint позволява на атакуващите да получат достъп до сървърите, да откраднат ключове и да се представят за легитимни потребители или услуги. Това потенциално отваря врата към дълбоко проникване в мрежите и кражба на чувствителни данни. Microsoft вече пусна актуализации, но експертите предупреждават, че много сървъри вече са били компрометирани преди това.

Във вторник Microsoft обвини китайски държавно спонсорирани групи, известни като Linen Typhoon и Violet Typhoon, в извършване на атаките. Към тях се присъединява и трета група – Storm-2603.

Американският технологичен гигант многократно е обвинявал Китай за големи пробиви в сигурността. През 2021 г. предполагаема китайска хакерска операция засегна десетки хиляди сървъри на Microsoft Exchange. През 2023 г. друга атака компрометира имейл акаунти на висши американски служители. По-късно официален одит определи случилото се като „каскада от провали в сигурността“.

Според Еудженио Бенинкаса от ETH Цюрих, който изследва китайски кибероперации, е вероятно атаките срещу SharePoint да са извършени от прокси-групи, наети от държавата. Той посочва, че в Китай частни хакерски фирми понякога действат като „наемници“.
„След като вече поне три групи са използвали тази уязвимост, можем да очакваме още“, казва той.

Официалният говорител на китайското външно министерство Гуо Дзякун заяви, че страната му се противопоставя на хакерските атаки и действа в съответствие със закона. „Същевременно се противопоставяме на безпочвени обвинения срещу Китай под прикритието на киберсигурност“, добави той.

Microsoft посочва, че групата Linen Typhoon е активна от 2012 г. и се фокусира върху кражба на интелектуална собственост от правителствени и отбранителни организации. Violet Typhoon, идентифицирана през 2015 г., е съсредоточена върху шпионаж спрямо бивши държавни служители, НПО-та и медии в САЩ, Европа и Източна Азия.

Според Bloomberg, уязвимостта е била използвана за проникване в системите на Министерството на образованието на САЩ, Департамента по приходите на Флорида и Общото събрание на щата Роуд Айлънд.

Едуин Лаймън от Съюза на загрижените учени заяви, че класифицираната ядрена информация обикновено се съхранява в мрежи, изолирани от интернет. „Въпреки това, има чувствителна, но некласифицирана информация, включително данни за ядрени материали и оръжия, която би могла да бъде компрометирана“, предупреди той.

Още по темата

Microsoft предлага безплатно подобряване на киберсигурността на Европа

Microsoft се отдръпва от проекти за центрове за данни по целия свят