Tri hakerske skupine povezane s Kinom iskoristile su niz ozbiljnih ranjivosti u lokalnim verzijama Microsoftova SharePointa te kompromitirale najmanje četiri stotine organizacija širom svijeta, objavio je tehnološki div.
Najosjetljivija meta bio je američki Nacionalni ured za nuklearnu sigurnost, a napadnuto je i najmanje pet saveznih agencija Sjedinjenih Država, među njima i Ministarstvo obrazovanja. Napadi su započeli nakon što je u svibnju na hakerskom natjecanju u Berlinu otkriven propust nazvan ToolShell, koji je poslužio kao ulazna točka.
Microsoft navodi da su dvije skupine – Linen Typhoon i Violet Typhoon – direktno povezane s kineskom državom, dok se za treću, označenu kao Storm-2603, procjenjuje "srednja razina uvjerenja" u istu povezanost.
Prema početnim podacima, potvrđeno je više od 100 kompromitiranih sustava već u prvim danima, no stručnjaci upozoravaju da se broj žrtava brzo penje. Ciljevi su raspršeni na nekoliko kontinenata: najviše u SAD-u, ali i u Europi, Africi i Aziji. Napadnute su državne institucije, energetske i konzultantske tvrtke, sveučilišta te ustanove u zdravstvu i visokom obrazovanju.
Analitičari iz Eye Security otkrivaju da su se hakeri u nekim slučajevima odlučili i na ransomware: zaključavali su dokumente i tražili otkupninu u kriptovalutama.
Microsoft je već objavio zakrpe za sve pogođene verzije SharePointa, no upozorava da samo ažuriranje nije dovoljno ako je sustav već kompromitiran. Organizacije moraju provesti detaljne forenzičke provjere i ukloniti eventualni zlonamjerni kod.
Američka agencija za kibernetičku sigurnost CISA izdala je hitno upozorenje korisnicima SharePointa da primijene najnovija sigurnosna ažuriranja i provjere ima li tragova upada.
Peking negira odgovornost i poručuje da "čvrsto odbacuje bilo kakve oblike kibernetičkih napada i kriminala" te optužuje Washington za "blaćenje bez dokaza". Microsoft, pak, poziva administratore koji SharePoint pokreću na vlastitoj infrastrukturi da ne odgađaju nadogradnju i detaljnu reviziju sustava.