Количество компаний и учреждений, скомпрометированных уязвимостью для SharePoint Servers Microsoft Corp., увеличивается. По данным безопасности глаз исследований, пострадавшие увеличились более шести раз в течение нескольких дней.
Согласно последним оценкам, хакеры смогли прорваться через кибер -протиту около 400 государственных учреждений, корпораций и других организаций. На прошлой неделе та же компания сообщила только о 60 случаях, согласно отчету, предоставленному Bloomberg News.
Согласно безопасности глаз, большинство жертв находятся в Соединенных Штатах, за которыми следуют Маврикий, Иордан, Южная Африка и Нидерланды. По словам Блумберга, среди пострадавших в США Национальная администрация ядерной безопасности США — агентство, ответственное за проектирование и обслуживание ядерного арсенала США.
Источник, знакомый с этим делом, объявил, что национальные институты здравоохранения также подвержены влиянию атаки. Пресс -секретарь Министерства здравоохранения и человеческих ресурсов Эндрю Никсон заверил, что агентство активно контролирует, определяет и ограничивает риски, связанные с уязвимостью в SharePoint.
«На данный момент у нас нет информации о утечке информации», — добавил он, заявив, что министерство работает с Microsoft и Агентством по кибербезопасности и безопасности для инфраструктуры США.
Washington Post ранее объявляла, что системы Национального института здравоохранения также были проколоты. Между тем, Министерство Южной Африки объявило, что нашел вредоносное ПО в своей сети и обратилось за помощью к Microsoft, хотя все его системы и сайты функционируют нормально.
Эта атака является еще одним серьезным прорывом, который Microsoft обвиняет Китай — на фоне растущей напряженности между Вашингтоном и Пекином по таким темам, как глобальная безопасность и торговля. Соединенные Штаты давно обвиняют Китай в долгосрочных кампаниях по краже правительственных и корпоративных секретов.
По словам Вайша Бернарда, соучредителя безопасности глаз, реальное число пострадавших может быть значительно выше, поскольку существуют также «тихие» способы компромисса, которые не оставляют видимых следов. «Ситуация развивается динамически, и другие оппортунистические нападавшие продолжают использовать уязвимые серверы», — сказала она Bloomberg News.
В атакованных организациях преобладают структуры из государственной администрации, образования и ИТ -услуг. Отдельные случаи также были обнаружены в Европе, Азии, Ближнем Востоке и Южной Америке.
SVEVA Scripts, аналитик по угрозам в Recorded Future Inc., объясняет, что хакерские группы стран действуют поэтапно — изначально с точными атаками, а затем с массовыми проникновениями, когда уязвимость становится публичной.
«После первоначального доступа они анализируют скомпрометированные цели и расставляют приоритеты тех, кто представляет особый интерес», — говорит она. Этот подход включает в себя поддержание доступа, проникновение глубины и кражу конфиденциальной информации.
Министр финансов США, Скотт Бенстен, сказал Bloomberg, что эта тема, вероятно, будет обсуждаться на следующей неделе во время коммерческих переговоров с Китаем в Стокгольме. «Такие вопросы неизбежно будут в повестке дня», — отметил он.
Уязвимость SharePoint позволяет злоумышленникам получить доступ к серверам, красть ключи и представлять себя для законных пользователей или услуг. Это потенциально открывает дверь для глубокого проникновения в сети и кражу конфиденциальных данных. Microsoft уже выпустила обновления, но эксперты предупреждают, что многие серверы уже были скомпрометированы раньше.
Во вторник Microsoft обвинила китайские спонсируемые группы, известные как льняной тайфун и фиолетовый тайфун в атаках. К ним также присоединяются третий групповой Storm-2603.
Американский технологический гигант неоднократно обвинял Китай в крупных прорывах безопасности. В 2021 году предполагаемая китайская хакерская операция повлияла на десятки тысяч серверов Microsoft Exchange. В 2023 году другая атака поставила под угрозу электронные письма старших официальных лиц США. Позже официальный аудит описал инцидент как «каскад безопасности».
Согласно Евгенио Бенинкасу из Эт Цюриха, который рассматривает китайские киберппильки, вполне вероятно, что атаки на Шарпут были проведены прокси-группами, нанятыми государством. Он отмечает, что в Китай частные хакеровые компании иногда действуют как «наемники».
«После того, как по крайней мере три группы использовали эту уязвимость, мы можем ожидать большего», — говорит он.
Официальный представитель министерства иностранных дел Китая Го Джикун сказал, что его страна выступила против хакерских атак и действий в соответствии с законом. «В то же время мы выступаем против необоснованных обвинений в отношении Китая под видом кибербезопасности», — добавил он.
Microsoft отмечает, что группа белья Typhoon работает с 2012 года и фокусируется на краже интеллектуальной собственности правительственными и оборонными организациями. Вайолет Тайфун, идентифицированный в 2015 году, фокусируется на шпионаже бывших государственных служащих, НПО и СМИ в США, Европе и Восточной Азии.
По словам Блумберга, уязвимость была использована для проникновения в Министерство образования США, Департамента доходов Флориды и Генеральной Ассамблеи на дороге.
Эдвин Лиман из Союза заинтересованных ученых сказал, что классифицированная ядерная информация обычно хранится в сетях, изолированных из Интернета. «Однако существует конфиденциальная, но неклассифицированная информация, включая данные о ядерных материалах и оружии, которые могут быть скомпрометированы», — предупредил он.