Останніми тижнями виявлено масштабну кібератаку на програмний продукт SharePoint, розроблений компанією Microsoft. Хакери, яких пов’язують із Китаєм, використали дві критичні уразливості системи для отримання доступу до конфіденційних даних сотень організацій по всьому світу. У своєму дописі Bloombert розповіли як відбувалась атака.
Як відбувся злам
SharePoint — це онлайн-платформа для зберігання та обміну корпоративними документами. Її веб-доступність дозволяє зловмисникам сканувати інтернет у пошуках серверів із вразливим кодом.
Microsoft повідомила про дві експлойтовані уразливості:
- “Spoofing” — помилка перевірки автентичності, що дала змогу хакерам видавати себе за легітимних користувачів;
- Віддалене встановлення шкідливого ПЗ — зловмисники з високим рівнем доступу могли інсталювати програми для крадіжки даних.
Постраждали лише ті сервери, які клієнти Microsoft розміщували у власних дата-центрах, а не у хмарній інфраструктурі компанії.
Хто стоїть за атакою
Microsoft звинуватила у зламі угруповання Linen Typhoon та Violet Typhoon, які, за даними компанії, діють в інтересах китайської держави. Також у звіті згадується група Storm-2603, яку з «помірним рівнем упевненості» вважають китайською.
Violet Typhoon спеціалізується на кібершпигунстві проти урядових і військових структур, тоді як Linen Typhoon відома крадіжкою інтелектуальної власності.
Пекін традиційно заперечує свою причетність до будь-яких кібератак.
Кого вразила атака
За оцінками нідерландської компанії Eye Security, зламу зазнали близько 400 урядових структур, корпорацій та інших організацій у світі.
Серед підтверджених жертв атаки — у США постраждали Національна адміністрація ядерної безпеки, Міністерство освіти, Департамент доходів Флориди та Генеральна асамблея Род-Айленду. В Європі та на Близькому Сході зафіксовано злами державних агентств, назви яких не розголошуються. Крім того, спроби кібервтручання виявили у Бразилії, Канаді, Індонезії, Іспанії, ПАР, Швейцарії, Великій Британії та низці інших країн.
Також повідомлено про зараження мережі Національного казначейства ПАР та злам серверів американського медичного закладу й одного з університетів Південно-Східної Азії.
Які дані могли викрасти
Поки що обсяг викраденої інформації невідомий. Джерела повідомляють, що у випадку з Національною адміністрацією ядерної безпеки США немає ознак компрометації секретних даних.
Подібні кібершпигунські операції в минулому давали змогу отримати доступ до електронної пошти високопосадовців, викрасти корпоративні комерційні таємниці та заволодіти технічною документацією.
Дії Microsoft
Про вразливості в SharePoint стало відомо у травні на хакерському змаганні в Берліні. Microsoft випустила перші патчі 8 липня, але вони виявилися недостатніми, тож через два тижні компанія надала оновлені виправлення та інструкції з виявлення заражень.
За словами Керта Дьюкса з Центру інтернет-безпеки, після масового оновлення серверів вікно для атак стрімко закривається.
