O defecțiune majoră în serverele Microsoft SharePoint a fost identificată și exploatată la scară largă de hackeri din întreaga lume, cu o activitate intensă venind din China. Situația a generat îngrijorare în rândul instituțiilor esențiale - de la spitale și școli, până la agenții guvernamentale - care investighează acum dacă propriile infrastructuri IT au fost afectate. Potrivit Axios, chiar și după instalarea actualizărilor de securitate, sistemele pot rămâne compromise dacă atacatorii au pătruns deja și au obținut acces persistent.
Microsoft a confirmat că, începând cu 7 iulie, cel puțin trei grupuri de atacatori cibernetici chinezi - dintre care două cu legături directe cu autoritățile de la Beijing - folosesc activ această breșă de securitate. SharePoint, platforma de colaborare și stocare a documentelor, este utilizată pe scară largă, iar experții avertizează că organizațiile cu mijloace tehnice reduse sunt cele mai vulnerabile în fața acestui val de atacuri.
Un specialist în securitate, citat de Axios, a declarat că instituțiile încearcă acum să stabilească dacă și în ce măsură le-au fost accesate serverele. În acest context, Microsoft a emis un avertisment privind existența unui atac activ asupra unei vulnerabilități „zero-day” în platforma SharePoint. Charles Carmakal, directorul tehnologic al firmei Mandiant, a confirmat că mai multe entități cibernetice s-au alăturat acestui asalt informatic.
100 de organizații compromise
Agenția americană pentru Securitate Cibernetică și Infrastructură a atras atenția că exploatarea vulnerabilității le poate permite atacatorilor să acceseze fișiere confidențiale sau chiar să execute comenzi de la distanță.
Până în prezent, sunt estimate aproximativ 100 de organizații compromise. Printre acestea se regăsesc agenții guvernamentale, instituții de învățământ superior, o companie din domeniul energetic și o firmă telecom din Asia. „Nu mai este vorba doar de un singur grup de hackeri, toți profită acum,” a declarat Michael Sikorski, CTO al Unit 42, divizia de securitate a Palo Alto Networks.
În ciuda eforturilor de remediere, amploarea breșei urmează să fie analizată pe parcursul a săptămâni sau chiar luni. Hackerii au reușit să sustragă chei de autentificare, permițându-le să pătrundă din nou în sistemele compromise, chiar și după ce patch-urile au fost aplicate. „Atacul se amestecă cu activitatea normală, deci e greu de detectat ce este anormal,” a explicat Kayne McGladrey, specialist în securitate.
Mulți dintre cei afectați nici nu sunt conștienți că au fost victime ale unei intruziuni
Mulți dintre cei afectați nici nu sunt conștienți că au fost victime ale unei intruziuni. Potrivit lui Sikorski, echipa Unit 42 colaborează cu Microsoft pentru a notifica organizațiile vulnerabile. Totuși, spune McGladrey, „organizațiile fără echipe specializate în detectarea amenințărilor sunt expuse riscurilor pe termen lung, deoarece nu au vizibilitatea necesară.”
Breșa afectează în special versiunile mai vechi ale SharePoint, încă folosite de instituții publice mici sau de operatori din infrastructura, care dispun de resurse limitate pentru intervenție rapidă. „Este îngrijorător că multe dintre aceste organizații nu au capacitatea de a reacționa eficient,” a subliniat Sikorski.
Chiar dacă Microsoft a oferit actualizări pentru toate versiunile afectate, pericolul persistă în cazurile în care atacatorii au lăsat în urmă „backdoor-uri” – breșe ascunse ce permit reintrarea în sistem. Specialiștii estimează că vor urma noi valuri de atacuri, atât din partea grupurilor oportuniste care vor încerca să fure date sau să instaleze ransomware, cât și din partea actorilor statali care vizează infiltrări pe termen lung, imposibil de detectat timp de luni de zile, potrivit Axios.
CITEȘTE ȘI: China, în ofensivă cu atacuri cibernetice și spionaj. Acțiuni tot mai dese asupra cipurilor din Taiwan