Какво позволи глобалната хакерска атака срещу продукт на Microsoft

Експерти по сигурността твърдят, че мащабът на кампанията за може да не стане напълно ясен в продължение на месеци или дори години

26 July 2025 | 10:10

Автор: Камерън Фози и Джордан Робъртсън
Редактор: Антон Груев

Снимка: Bloomberg L.P.

През последните седмици хакери се възползваха от уязвимости в SharePoint – система за управление на документи, разработена от Microsoft Corp., за да се опитат да откраднат поверителни данни от стотици жертви.

На 22 юли Microsoft обвини хакери, свързани с китайското правителство, че са проникнали в компютърни системи, принадлежащи на предприятия и правителствени агенции в САЩ и по света. Сред известните жертви са Министерството на образованието и Националната администрация за ядрена сигурност – американската агенция, отговорна за опазването на ядрените оръжия на страната, съобщи Bloomberg.

Експерти по сигурността твърдят, че мащабът на кампанията за кибершпионаж – измерен чрез броя на жертвите и чувствителността на компрометираната информация – може да не стане напълно ясен в продължение на месеци или дори години. Ето какво трябва да знаете.

Как хакерите се възползваха от уязвимостите в SharePoint?

SharePoint е софтуерен продукт за съхранение на данни и сътрудничество, който позволява на членовете на организацията да споделят информация вътрешно и да имат достъп до нея от различни устройства. Тъй като софтуерът се използва онлайн, хакерите могат да сканират интернет в търсене на сървъри с дефектен код. Обичайна практика е хакерите да извършват автоматизирани атаки срещу възможно най-много уязвими системи, поради което броят на жертвите може да нарасне бързо.

Microsoft заяви, че атаките срещу определени клиенти на SharePoint са използвали два недостатъка в нейния софтуер. Първият бе уязвимост „spoofing“ (подправяне), която се проявява, когато компютърната система не проверява правилно самоличността на потребителите. В случая на SharePoint грешката в проверката позволи на хакерите да получат достъп до уязвими сървъри, като се представяха за легитимни потребители.

Вторият недостатък позволява на нападатели, представящи се за потребители с високо ниво на достъп, да инсталират зловреден софтуер на сървърите на SharePoint от разстояние, което им дава възможност да крадат данни.

Още по темата

Пробивът в сигурността на Microsoft е обхванал стотици фирми и агенции

Някои SharePoint сървъри се хостват от клиентите в техните собствени ИТ мрежи, а други се намират в инфраструктурата за облачни изчисления на Microsoft. Само сървърите от първата категория бяха засегнати от кибератаките през юли.

Кои са хакерите?

В свое изявление Microsoft обвини подкрепяните от китайската държава хакерски групи Linen Typhoon и Violet Typhoon, че са използвали тези уязвимости, заедно с групата Storm-2603, за която е „оценено с умерена степен на достоверност“, че е базирана в Китай. Хакерите също така са използвали софтуерните недостатъци за извършване на атаки с цел получаване на откуп, заяви Microsoft на 23 юли.

Violet Typhoon е шпионска група, която отдавна се насочва към видни правителствени служители и военни по света. Linen Typhoon, напротив, е известна с кражбата на интелектуална собственост. (Киберфирмите използват различни имена за едни и същи групи, а Microsoft прилага тема, свързана с времето, в наименованията си.)

Китайските официални лица многократно са заявявали, че осъждат всякакъв вид кибератаки или киберпрестъпления.

Какви потребители бяха засегнати?

Нидерландската компания за киберсигурност Eye Security изчислява, че 400 правителствени агенции, корпорации и други организации са били компрометирани при атаките по целия свят. Хора, запознати със ситуацията, заявиха пред Bloomberg, че сред тях са правителствени агенции в САЩ, Европа и Близкия изток.

В САЩ хакерите са получили достъп до системи, принадлежащи на Националната администрация за ядрена сигурност на САЩ, Министерството на образованието, Министерството на приходите на Флорида и Общото събрание на Роуд Айлънд, според източници, запознати с въпроса, които не са били упълномощени да говорят публично.

Още по темата

Агенцията за ядрени оръжия на САЩ е засегната от хакерската атака срещу Microsoft

Хакерите са проникнали и в системите на доставчик на здравни услуги в САЩ и са се насочили към държавен университет в Югоизточна Азия, според доклад на фирма за киберсигурност, която поиска да остане анонимна заради чувствителността на информацията. В доклада не се посочват имената на доставчика на здравни услуги или университета, но се казва, че хакерите са се опитали да пробият сървъри в Бразилия, Канада, Индонезия, Испания, Южна Африка, Швейцария, Обединеното кралство и САЩ, наред с други държави. На 23 юли списъкът с известни жертви беше разширен с включването на Националната хазна на Южна Африка, която заяви, че търси помощ от Microsoft, след като идентифицира зловреден софтуер в мрежата си.

До каква информация са получили достъп хакерите?

Степента на кражбата на данни остава до голяма степен неизвестна.

Не е известно атаката срещу Националната администрация за ядрена сигурност да е компрометирала някаква чувствителна или класифицирана информация, според източник, който не бе упълномощен да говори публично и поиска анонимност.

Говорителката на Департамента по приходите на Флорида, Бетани Уестър Кутийо, заяви в имейл, че слабостите на SharePoint се разследват „на различни нива на управление“, но че щатската агенция „не коментира публично софтуера, който използва за дейността си“.

Подобни кампании за кибершпионаж в миналото са позволявали на шпионите да събират всякакъв вид информация – например достъп до имейл акаунти и корпоративни тайни – която може да бъде ценна за чужди правителства. В този случай е твърде рано да се прецени какво е било компрометирано.

Как реагира Microsoft?

След като през май научи за две уязвимости в SharePoint от хакерско състезание в Берлин, на 8 юли Microsoft публикува пачове, които обаче се оказаха недостатъчни, за да спрат атаките срещу софтуера. В отговор на това, две седмици по-късно компанията публикува последващи пачове, заедно с подробни указания за това как да се търсят признаци на заразяване.

Пачовете защитават само сървърите, които още не са компрометирани от хакерите. Но докато уязвимостите в SharePoint позволиха на хакерите да компрометират стотици организации, времевият прозорец за масови атаки бързо се затваря, казва Кърт Дюкс, изпълнителен вицепрезидент и генерален мениджър на отдела за най-добри практики в областта на сигурността в Центъра за интернет сигурност.

„Сега, когато всички активно изтеглят пачовете, цикълът ще приключи в някакъв момент“, каза той.

Имало ли е провали в сигурността на Microsoft в миналото?

Поради широкото разпространение на продуктите на Microsoft по света, те са честа цел на кибератаки, а достъпът до защитените мрежи може да донесе огромни количества данни.

През 2023 г. хакерска група, свързана с китайското правителство, беше обвинена, че е проникнала в имейл акаунтите на бившия министър на търговията на САЩ Джина Реймондо, посланика на САЩ в Китай Никълъс Бърнс и още стотици други. По-късно правителствен преглед на САЩ обвини Microsoft в „серия от провали в сигурността“ във връзка с този инцидент. През 2024 г. спонсорирани от руската държава хакери са претърсили електронните пощенски кутии на някои клиенти на Microsoft.

Под натиск да предотврати подобни провали в миналото, Microsoft през последните години обяви ангажименти за укрепване на своята сигурност.