Η Microsoft αποκάλυψε ότι χάκερ υποστηριζόμενοι από την Κίνα, εκμεταλλεύτηκαν κενά ασφαλείας στο λογισμικό SharePoint, προκειμένου να διεισδύσουν σε οργανισμούς παγκοσμίως -με τον αμερικανικό οργανισμό που είναι υπεύθυνος για τον σχεδιασμό πυρηνικών όπλων να περιλαμβάνεται πλέον στους παραβιασμένους στόχους.
Σε ανάρτηση στο ιστολόγιό του, ο τεχνολογικός κολοσσός ταυτοποίησε δύο ομάδες που υποστηρίζονται από την κινεζική κυβέρνηση, τις Linen Typhoon και Violet Typhoon, οι οποίες εκμεταλλεύτηκαν αδυναμίες στο λογισμικό κοινής χρήσης εγγράφων, θέτοντας σε κίνδυνο πελάτες που το λειτουργούν στα δικά τους δίκτυα και όχι μέσω του cloud. Μια ακόμη ομάδα χάκερ με έδρα την Κίνα, την οποία η Microsoft ονομάζει Storm-2603, επίσης εκμεταλλεύτηκε τα ίδια κενά ασφαλείας, σύμφωνα με την ανάρτηση.
Ο αριθμός των εταιρειών και οργανισμών που έχουν παραβιαστεί ως αποτέλεσμα αυτών των επιθέσεων αυξάνεται συνεχώς: Οι χάκερ χρησιμοποίησαν τις αδυναμίες του SharePoint για να διεισδύσουν στην Εθνική Υπηρεσία Πυρηνικής Ασφάλειας των ΗΠΑ, σύμφωνα με πηγες του Bloomberg.
Αν και η Microsoft έχει διορθώσει το λογισμικό της τις τελευταίες ημέρες, ερευνητές στον τομέα της κυβερνοασφάλειας έχουν ήδη εντοπίσει παραβιάσεις σε περισσότερους από 100 διακομιστές που αντιστοιχούν σε 60 θύματα μέχρι στιγμής, συμπεριλαμβανομένων οργανισμών στον τομέα της ενέργειας, συμβουλευτικών εταιρειών και πανεπιστημίων. Οι χάκερ έχουν επίσης εκμεταλλευτεί το λογισμικό, για να διεισδύσουν στα συστήματα εθνικών κυβερνήσεων από την Ευρώπη μέχρι τη Μέση Ανατολή, σύμφωνα με άτομο που γνωρίζει την υπόθεση.
Τα κενά ασφαλείας στο SharePoint έχουν χρησιμοποιηθεί σε επιθέσεις από τουλάχιστον τις 7 Ιουλίου, δήλωσε ο Άνταμ Μάγιερς, ανώτερος αντιπρόεδρος της CrowdStrike. Η αρχική εκμετάλλευση θύμιζε δραστηριότητα που σχετίζεται με κρατική υποστήριξη, και στη συνέχεια επεκτάθηκε ευρύτερα περιλαμβάνοντας επιθέσεις που «μοιάζουν με Κίνα», όπως είπε. Η έρευνα της CrowdStrike για την εκστρατεία βρίσκεται σε εξέλιξη, πρόσθεσε.
Η Microsoft ανέφερε στο ιστολόγιό της ότι οι έρευνές της για άλλους επιτιθέμενους που χρησιμοποιούν αυτά τα exploits «βρίσκονται ακόμη σε εξέλιξη». Η εταιρεία δήλωσε ότι έχει «υψηλή εμπιστοσύνη» ότι οι χάκερ θα «συνεχίσουν να τα ενσωματώνουν στις επιθέσεις τους».
Κυβερνοεπίθεση στη Microsoft: Aρνείται την εμπλοκή η Κίνα
Σε δήλωσή της, η πρεσβεία της Κίνας στην Ουάσινγκτον ανέφερε ότι η Κίνα αντιτίθεται κατηγορηματικά σε κάθε μορφή κυβερνοεπιθέσεων και κυβερνοεγκλήματος. «Ταυτόχρονα, αντιτιθέμεθα κατηγορηματικά στη δυσφήμηση άλλων χωρίς απτά αποδεικτικά στοιχεία», ανέφερε. «Ελπίζουμε ότι τα εμπλεκόμενα μέρη θα υιοθετήσουν επαγγελματική και υπεύθυνη στάση όταν χαρακτηρίζουν κυβερνοσυμβάντα, στηρίζοντας τα συμπεράσματά τους σε επαρκή στοιχεία και όχι σε αβάσιμες εικασίες και κατηγορίες».
Oι στόχοι των χάκερ
Δεν είναι γνωστό να έχει διαρρεύσει ευαίσθητη ή διαβαθμισμένη πληροφορία από την επίθεση στην Εθνική Υπηρεσία Πυρηνικής Ασφάλειας, σύμφωνα με το Bloomberg. Ο συγκεκριμένος ημιαυτόνομος βραχίονας του υπουργείου Ενέργειας είναι υπεύθυνος για την παραγωγή και αποσυναρμολόγηση πυρηνικών όπλων. Και άλλα τμήματα του υπουργείου παραβιάστηκαν επίσης. Εκπρόσωπος του υπουργείου Ενέργειας δήλωσε ότι η εκμετάλλευση του SharePoint άρχισε να επηρεάζει την υπηρεσία στις 18 Ιουλίου, αλλά η ζημιά περιορίστηκε χάρη στο γεγονός ότι το υπουργείο χρησιμοποιεί την υπηρεσία cloud της Microsoft.
Το υπουργείο Εσόδων της Φλόριντα δήλωσε ότι οι αδυναμίες του SharePoint βρίσκονται υπό διερεύνηση «σε πολλαπλά επίπεδα διακυβέρνησης», αλλά αρνήθηκε να κάνει περαιτέρω δηλώσεις.
Οι χάκερ έχουν επίσης παραβιάσει τα συστήματα παρόχου υπηρεσιών υγειονομικής περίθαλψης με έδρα τις ΗΠΑ και στοχοποίησαν ένα δημόσιο πανεπιστήμιο στη Νοτιοανατολική Ασία, σύμφωνα με αναφορά εταιρείας κυβερνοασφάλειας που περιήλθε σε γνώση του Bloomberg. Η αναφορά δεν κατονομάζει κανέναν από τους δύο οργανισμούς, αλλά αναφέρει ότι οι χάκερ έχουν επιχειρήσει να παραβιάσουν διακομιστές SharePoint σε χώρες όπως η Βραζιλία, ο Καναδάς, η Ινδονησία, η Ισπανία, η Νότια Αφρική, η Ελβετία, το Ηνωμένο Βασίλειο και οι Ηνωμένες Πολιτείες. Η εταιρεία ζήτησε να μην κατονομαστεί λόγω της ευαισθησίας των πληροφοριών.
Χάκερ έχουν υποκλέψει διαπιστευτήρια σύνδεσης —συμπεριλαμβανομένων ονομάτων χρηστών, κωδικών πρόσβασης, hash codes και tokens— από ορισμένα συστήματα.
«Πρόκειται για μια απειλή υψηλής σοβαρότητας και υψηλής προτεραιότητας», δήλωσε ο Michael Sikorski, τεχνικός διευθυντής και επικεφαλής πληροφοριών απειλών στην εταιρεία Unit 42 της Palo Alto Networks. «Αυτό που την καθιστά ιδιαίτερα ανησυχητική είναι η βαθιά ενσωμάτωση του SharePoint στην πλατφόρμα της Microsoft, συμπεριλαμβανομένων υπηρεσιών όπως το Office, το Teams, το OneDrive και το Outlook, που περιέχουν πληροφορίες μεγάλης αξίας για έναν επιτιθέμενο», πρόσθεσε.
Η εταιρεία κυβερνοασφάλειας Eye Security δήλωσε ότι τα κενά ασφαλείας επιτρέπουν σε χάκερ να αποκτήσουν πρόσβαση σε SharePoint servers και να κλέψουν κλειδιά που τους δίνουν τη δυνατότητα να προσποιούνται νόμιμους χρήστες ή υπηρεσίες, ακόμη και μετά την εγκατάσταση των σχετικών ενημερώσεων. Οι χάκερ μπορούν να διατηρήσουν την πρόσβασή τους μέσω “πίσω θυρών” ή τροποποιημένων στοιχείων που επιβιώνουν ακόμα και μετά από αναβαθμίσεις ή επανεκκινήσεις των συστημάτων.
«Πονοκέφαλος» για την εταιρεία
Οι παραβιάσεις έχουν αναζωπυρώσει την κριτική προς τις προσπάθειες της Microsoft να ενισχύσει την ασφάλειά της, ύστερα από σειρά σοβαρών αποτυχιών τα τελευταία χρόνια. Η εταιρεία έχει προσλάβει στελέχη από κυβερνητικούς φορείς των ΗΠΑ και πραγματοποιεί εβδομαδιαίες συναντήσεις με ανώτατα στελέχη, σε μια προσπάθεια να καταστήσει το λογισμικό της πιο ανθεκτικό. Τεχνολογίες της Microsoft έχουν αποτελέσει στόχο πολλών εκτεταμένων και καταστροφικών επιθέσεων, ενώ κυβερνητική έκθεση των ΗΠΑ το 2024 χαρακτήρισε την κουλτούρα ασφαλείας της εταιρείας ως άκρως προβληματική και με άμεση ανάγκη για μεταρρυθμίσεις.
Η Eye Security έχει εντοπίσει παραβιάσεις σε πάνω από 100 servers που αφορούν 60 θύματα, συμπεριλαμβανομένων οργανισμών στον ενεργειακό τομέα, σε συμβουλευτικές εταιρείες και πανεπιστήμια. Θύματα εντοπίστηκαν επίσης στη Σαουδική Αραβία, το Βιετνάμ, το Ομάν και τα Ηνωμένα Αραβικά Εμιράτα.
Αρχές Ιουλίου, η Microsoft κυκλοφόρησε patches για την επιδιόρθωση των κενών ασφαλείας, όμως οι χάκερ βρήκαν νέο τρόπο διείσδυσης. «Υπήρχαν τρόποι να παρακαμφθούν τα patches», δήλωσε ο Vaisha Bernard, επικεφαλής χάκερ και συνιδιοκτήτης της Eye Security. «Αυτό επέτρεψε να πραγματοποιηθούν οι επιθέσεις». Όπως είπε, οι επιθέσεις δεν ήταν στοχευμένες αλλά αποσκοπούσαν στη μαζική παραβίαση όσο το δυνατόν περισσότερων θυμάτων.
Ο ίδιος αρνήθηκε να κατονομάσει τους οργανισμούς που στοχοποιήθηκαν, αλλά ανέφερε ότι περιλαμβάνουν κρατικούς φορείς και ιδιωτικές εταιρείες, μεταξύ των οποίων και «μεγάλες πολυεθνικές». Τα θύματα βρίσκονταν σε χώρες της Βόρειας και Νότιας Αμερικής, της Ευρωπαϊκής Ένωσης, της Νότιας Αφρικής και της Αυστραλίας.
