В последние недели хакеры выиграли от уязвимостей SharePoint, системы управления документами, разработанной Microsoft Corp., чтобы попытаться украсть конфиденциальные данные сотен жертв.
22 июля Microsoft обвинила хакеров, связанных с правительством Китая в проникновении компьютерных систем, принадлежащих к предприятиям и государственным учреждениям в Соединенных Штатах и во всем мире. По сообщению Bloomberg, среди известных жертв — Министерство образования и Национальная администрация ядерной безопасности — агентство США, ответственное за защиту ядерного оружия страны.
Эксперты по безопасности утверждают, что масштаб кампании по киберспенции, измеряемая числом жертв и чувствительностью скомпрометированной информации, может не стать совершенно ясным в течение нескольких месяцев или даже лет. Вот что вам нужно знать.
Как хакеры выиграли от уязвимостей SharePoint?
SharePoint — это программный продукт для хранения данных и сотрудничества, который позволяет участникам организации обмениваться информацией внутри информации и иметь доступ к ней с разных устройств. Поскольку программное обеспечение используется в Интернете, хакеры могут сканировать Интернет в поисках серверов дефектного кода. Для хакеры обычная практика проводит автоматические атаки против как можно большего количества уязвимых систем, поэтому число жертв может быстро увеличиться.
Microsoft сказала, что атаки на определенных клиентов SharePoint использовали два недостатка в своем программном обеспечении. Первым был «подделка» уязвимости (подделан), которая проявляется, когда компьютерная система не проверяет идентификацию пользователей. В случае SharePoint чек в проверке, который позволил хакерам получить доступ к уязвимым серверам, представляя в качестве законных пользователей.
Второй недостаток позволяет злоумышленникам позировать для пользователей с высоким уровнем доступа для установки вредоносных программ на серверах SharePoint на расстоянии, что позволяет им украсть данные.
Некоторые серверы SharePoint размещены клиентами в своих собственных ИТ -сети, в то время как другие расположены в инфраструктуре расчетов Microsoft Cloud Cloud. Только на первые категории серверы были затронуты кибератаками в июле.
Кто такие хакеры?
В своем заявлении Microsoft обвинила поддерживаемые китайцами хакерские группы льняных тайфунов и фиолетового тайфуна в использовании этих уязвимостей вместе с группой Storm-2603, за которую она «ценится с умеренной степенью подлинности», которую он основан в Китае. Хакеры также использовали программные дефекты для атаки выкупа, сообщила Microsoft 23 июля.
Violet Typhoon — это шпионская группа, которая долгое время нацелена на выдающихся правительственных чиновников и военных по всему миру. По льдий, напротив, известен кражей интеллектуальной собственности. (Cyberfirms используют разные имена для одних и тех же групп, а Microsoft применяет время, связанную с временем в своих именах.)
Китайские чиновники неоднократно заявляли, что осуждают любой тип кибератаки или киберпреступности.
Какие пользователи были затронуты?
Голландская компания по безопасности на кибербезопасности оценивает, что 400 государственных учреждений, корпораций и других организаций были скомпрометированы в результате нападений по всему миру. Люди, знакомые с ситуацией, сказали Bloomberg, что они являются государственными учреждениями в США, Европе и на Ближнем Востоке.
В Соединенных Штатах хакеры получили доступ к системам, принадлежащим Национальной администрации ядерной безопасности США, Министерству образования, Министерству доходов Флориды и Генеральной Ассамблее Road Island, согласно источникам, знакомым с вопросами, которые не были уполномочены говорить публично.
Хакеры также проникли в системы поставщика медицинских услуг в Соединенных Штатах и направились в Государственный университет в Юго -Восточной Азии, согласно отчету компании по кибербезопасности, в которой потребовались остаться анонимными из -за чувствительности информации. В отчете не указывается имена поставщика здравоохранения или университета, но говорят, что хакеры пытались прорваться через серверы в Бразилии, Канаде, Индонезии, Испании, Южной Африке, Швейцарии, Великобритании и Соединенных Штатах, среди других стран. 23 июля список известных жертв был расширен благодаря включению Национальной казначейства Южной Африки, в котором говорилось, что он искал помощь от Microsoft после определения вредоносного ПО в своей сети.
К какой информации хакеры получили доступ?
Степень кражи данных остается в значительной степени неизвестной.
Неизвестно, что нападение на Национальную администрацию ядерной безопасности скомпрометировала некоторую конфиденциальную или классифицированную информацию, согласно источнику, который не был уполномочен говорить публично и потребовал анонимности.
Пресс -секретарь доходов Флориды, Бетани Вестер Кутио, заявила в электронном письме, что слабые стороны SharePoint исследуются «на разных уровнях управления, но государственное агентство« не комментирует программное обеспечение, которое он использует для своего бизнеса ».
Аналогичные кибер -циклевые кампании в прошлом позволили шпионам собирать все виды информации, такую как доступ к учетным записям электронной почты и корпоративные секреты, которые могут быть ценными для иностранных правительств. В этом случае еще слишком рано судить, что было скомпрометировано.
Как реагирует Microsoft?
Узнав о двух уязвимости SharePoint из конкурса Berlin Hacker 8 июля, Microsoft опубликовала патчи, но они оказались недостаточными, чтобы остановить атаки на программное обеспечение. В ответ две недели спустя компания опубликовала последующие патчи, а также подробные инструкции о том, как искать признаки инфекции.
Пластики защищают только серверы, которые еще не были скомпрометированы хакерами. Но в то время как уязвимости SharePoint позволили хакерам поставить под угрозу сотни организаций, окно по времени закрытию времени быстро закрыто, говорит Курт Дюкс, исполнительный вице-президент и генеральный директор Отдела безопасности лучшего центра безопасности безопасности.
«Теперь, когда все активно тянут патч, цикл закончится в какой -то момент», — сказал он.
Были ли в прошлом какие -либо сбои в области безопасности Microsoft?
Из -за широкого распространения продуктов Microsoft по всему миру они являются общей целью кибератак, а доступ к защищенным сетям может принести огромные объемы данных.
В 2023 году была обвинена хакерская группа, связанная с китайским правительством в проникновении по электронной почте бывшего министра США Джины Раймондо, посол США в Китае Николас Бернс и сотни других. Позже в обзоре правительства США обвинили Microsoft в «серии неудач безопасности» в связи с этим инцидентом. В 2024 году хакер спонсировал российским штатом, искал электронные почтовые ящики некоторых клиентов Microsoft.
Под давлением, чтобы предотвратить такие неудачи в прошлом, Microsoft объявила об обязательствах по укреплению своей безопасности в последние годы.