Η Microsoft ανακοίνωσε ότι κρατικά υποστηριζόμενοι χάκερ από την Κίνα εκμεταλλεύονται κενά ασφαλείας στο λογισμικό SharePoint για να παραβιάσουν συστήματα οργανισμών παγκοσμίως, με την Υπηρεσία Εθνικής Πυρηνικής Ασφάλειας των ΗΠΑ να συγκαταλέγεται ανάμεσα στους στόχους.
Σε σχετική δημοσίευση, η Microsoft κατονομάζει τρεις ομάδες που συνδέονται με την κινεζική κυβέρνηση, τις Linen Typhoon, Violet Typhoon και Storm-2603, οι οποίες εκμεταλλεύονται «τρύπες» στο SharePoint, κυρίως όταν αυτό λειτουργεί σε τοπικούς servers και όχι μέσω cloud.
Ο αριθμός των οργανισμών που έχουν παραβιαστεί αυξάνεται, με το Bloomberg να αναφέρει πως χτυπήθηκε και η Υπηρεσία Πυρηνικής Ασφάλειας, που είναι υπεύθυνη για τον σχεδιασμό και την αποσυναρμολόγηση των πυρηνικών όπλων των ΗΠΑ, καθώς και για την παροχή πυρηνικών αντιδραστήρων στο Πολεμικό Ναυτικό.
Παρόλο που η Microsoft έχει ήδη κυκλοφορήσει patches, οι ερευνητές κυβερνοασφάλειας έχουν εντοπίσει επιθέσεις σε περισσότερους από 100 servers, με θύματα τουλάχιστον 60 οργανισμούς από τον ενεργειακό τομέα, εταιρείες συμβούλων και πανεπιστήμια.
Στο στόχαστρο κυβερνητικές υπηρεσίες, πολυεθνικές και οργανισμοί
Κυβερνοεπιθέσεις έχουν σημειωθεί επίσης και στην Ευρώπη και σε άλλα μέρη του κόσμου. Ορισμένες από τις χώρες που έχουν αναφέρει χτυπήματα είναι η Βραζιλία, ο Καναδάς, η Ινδονησία, η Ισπανία, η Νότια Αφρική, η Ελβετία, η Αυστραλία και το Ηνωμένο Βασίλειο. Μεταξύ άλλων χτυπήθηκαν κυβερνητικές υπηρεσίες, πολυεθνικές εταιρείες και οργανισμοί.
Σύμφωνα με την CrowdStrike, οι επιθέσεις ξεκίνησαν τουλάχιστον από τις 7 Ιουλίου και αρχικά έμοιαζαν με κρατικά χρηματοδοτούμενη δραστηριότητα, πριν εξαπλωθούν. Η έρευνα συνεχίζεται, όπως και η προσπάθεια να κλείσουν τα κενά ασφαλείας, καθώς η Microsoft δηλώνει με «υψηλό βαθμό βεβαιότητας» ότι οι χάκερ θα συνεχίσουν τη δράση τους.
Η κινεζική πρεσβεία στην Ουάσινγκτον απάντησε ότι η Κίνα «αντιτίθεται σθεναρά σε όλες τις μορφές κυβερνοεπιθέσεων» και κατηγόρησε τις ΗΠΑ για «ανυπόστατες κατηγορίες χωρίς επαρκή αποδεικτικά στοιχεία».
Μέχρι στιγμής, δεν υπάρχουν ενδείξεις ότι ευαίσθητες ή διαβαθμισμένες πληροφορίες εκλάπησαν από την Εθνική Υπηρεσία Πυρηνικής Ασφάλειας, ωστόσο και άλλα τμήματα του Υπουργείου Ενέργειας επηρεάστηκαν. Εκπρόσωπος του Υπουργείου Ενέργειας ανέφερε ότι οι επιθέσεις ξεκίνησαν στις 18 Ιουλίου, αλλά η χρήση cloud περιόρισε τις επιπτώσεις.
Το φιάσκο της Microsoft με τα κενά ασφαλείας
Οι ερευνητές αναφέρουν ότι έχουν κλαπεί διαπιστευτήρια σύνδεσης, κωδικοί, hash και tokens. Σύμφωνα με την Eye Security, οι επιτιθέμενοι μπορούν να αποκτήσουν κλειδιά πρόσβασης που τους επιτρέπουν να υποκρίνονται χρήστες ή υπηρεσίες ακόμη και μετά την ενημέρωση των servers, ενώ μπορούν να διατηρήσουν την παρουσία τους μέσω backdoors ή τροποποιημένων αρχείων που επιβιώνουν επανεκκινήσεων και ενημερώσεων.
Η σοβαρότητα της κατάστασης τονίζεται από τον Michael Sikorski, CTO της Palo Alto Networks. «Η βαθιά ενσωμάτωση του SharePoint με υπηρεσίες όπως το Office, το Teams και το Outlook καθιστά την απειλή αυτή εξαιρετικά κρίσιμη», σημείωσε στο Bloomberg.
Μετά το φιάσκο με τα κενά στο σύστημά της, η Microsoft αντιμετωπίζει πλέον πιέσεις για να ενισχύσει την ασφάλεια των προϊόντων της. Σύμφωνα με την Eye Security, οι τελευταίες επιθέσεις δεν ήταν στοχευμένες αλλά μαζικές, με σκοπό την παραβίαση όσο το δυνατόν περισσότερων στόχων.
