H Microsoft Corp. προειδοποίησε ότι κινεζικοί κρατικά υποστηριζόμενοι χάκερς είναι μεταξύ εκείνων που εκμεταλλεύονται ελαττώματα στο λογισμικό SharePoint της για να εισβάλουν σε ιδρύματα σε όλο τον κόσμο, με την αμερικανική υπηρεσία που είναι υπεύθυνη για τον σχεδιασμό πυρηνικών όπλων να συγκαταλέγεται πλέον μεταξύ εκείνων που παραβιάστηκαν.

Σε μια ανάρτηση στο blog, ο τεχνολογικός γίγαντας προσδιόρισε δύο ομάδες που υποστηρίζονται από την κινεζική κυβέρνηση, τις Linen Typhoon και Violet Typhoon, ως αξιοποιώντας ελαττώματα στο λογισμικό κοινής χρήσης εγγράφων που καθιστούσαν ευάλωτους τους πελάτες που το τρέχουν στα δικά τους δίκτυα, σε αντίθεση με το cloud. Μια άλλη ομάδα χάκερ με έδρα την Κίνα, την οποία η Microsoft αποκαλεί Storm-2603, τις εκμεταλλεύτηκε επίσης, σύμφωνα με το ιστολόγιο.

Ο αριθμός των εταιρειών και οργανισμών που υπόκεινται σε παραβιάσεις ως αποτέλεσμα αυτών των exploits αυξάνεται εν τω μεταξύ: Οι χάκερς χρησιμοποίησαν τα ελαττώματα του SharePoint για να εισβάλουν στην Εθνική Υπηρεσία Πυρηνικής Ασφάλειας των ΗΠΑ, σύμφωνα με άτομο με γνώση του θέματος που δεν είχε εξουσιοδότηση να μιλήσει δημοσίως. Το Bloomberg ανέφερε επίσης τη Δευτέρα ότι παραβιάστηκαν συστήματα που ανήκουν στο Υπουργείο Παιδείας των ΗΠΑ, στο Υπουργείο Εσόδων της Φλόριντα και στη Γενική Συνέλευση του νησιού.

Ενώ η Microsoft έχει επιδιορθώσει το λογισμικό της τις τελευταίες ημέρες, οι ερευνητές κυβερνοασφάλειας έχουν ήδη εντοπίσει παραβιάσεις σε περισσότερους από 100 διακομιστές που αντιπροσωπεύουν 60 θύματα μέχρι στιγμής, συμπεριλαμβανομένων οργανισμών στον τομέα της ενέργειας, εταιρειών συμβούλων και πανεπιστημίων. Οι χάκερς έχουν επίσης εκμεταλλευτεί το λογισμικό για να εισέλθουν στα συστήματα εθνικών κυβερνήσεων από την Ευρώπη έως τη Μέση Ανατολή, σύμφωνα με άτομο που γνωρίζει το θέμα.

Τα ελαττώματα του SharePoint έχουν χρησιμοποιηθεί σε hacks τουλάχιστον από τις 7 Ιουλίου, δήλωσε ο Adam Meyers, ανώτερος αντιπρόεδρος της CrowdStrike Holdings Inc. Η πρώιμη εκμετάλλευση έμοιαζε με κυβερνητικά χρηματοδοτούμενη δραστηριότητα και στη συνέχεια εξαπλώθηκε ευρύτερα για να συμπεριλάβει hacking που «μοιάζει με την Κίνα», δήλωσε ο Meyers. Η έρευνα της CrowdStrike σχετικά με την εκστρατεία βρίσκεται σε εξέλιξη, είπε.

Η Microsoft ανέφερε στο blog της ότι οι έρευνές της σχετικά με άλλους φορείς απειλών που χρησιμοποιούν αυτά τα exploits «συνεχίζονται ακόμη». Η εταιρεία δήλωσε ότι πιστεύει ότι οι χάκερς «θα συνεχίσουν να τα ενσωματώνουν στις επιθέσεις τους».

Σε ανακοίνωσή της, η κινεζική πρεσβεία στην Ουάσινγκτον δήλωσε ότι η Κίνα αντιτίθεται σθεναρά σε όλες τις μορφές κυβερνοεπιθέσεων και κυβερνοεγκλήματος.

«Ταυτόχρονα, αντιτιθέμεθα επίσης σθεναρά στη συκοφάντηση χωρίς αδιάσειστα στοιχεία», ανέφερε. «Ελπίζουμε ότι τα αρμόδια μέρη θα υιοθετήσουν μια επαγγελματική και υπεύθυνη στάση όταν χαρακτηρίζουν τα περιστατικά στον κυβερνοχώρο, βασίζοντας τα συμπεράσματά τους σε επαρκή αποδεικτικά στοιχεία και όχι σε αβάσιμες εικασίες και κατηγορίες».

Δεν είναι γνωστό αν έχουν παραβιαστεί ευαίσθητες ή διαβαθμισμένες πληροφορίες κατά την επίθεση στην Εθνική Υπηρεσία Πυρηνικής Ασφάλειας, δήλωσε το άτομο που έχει γνώση της παραβίασης. Ο ημιαυτόνομος βραχίονας του υπουργείου Ενέργειας είναι υπεύθυνος για την παραγωγή και την αποσυναρμολόγηση πυρηνικών όπλων. Άλλα τμήματα του υπουργείου είχαν επίσης παραβιαστεί.

Εκπρόσωπος του υπουργείου Ενέργειας δήλωσε μέσω ηλεκτρονικού ταχυδρομείου ότι η εκμετάλλευση του SharePoint άρχισε να επηρεάζει την υπηρεσία στις 18 Ιουλίου, αλλά περιορίστηκε από το γεγονός ότι το υπουργείο χρησιμοποιεί το cloud της Microsoft.

Εν τω μεταξύ, εκπρόσωποι του υπουργείου Παιδείας των ΗΠΑ και του νομοθετικού σώματος του Ρόουντ Άιλαντ δεν απάντησαν σε κλήσεις και μηνύματα ηλεκτρονικού ταχυδρομείου που ζητούσαν σχόλια. Το Υπουργείο Εσόδων της Φλόριντα δήλωσε ότι οι αδυναμίες του SharePoint διερευνώνται «σε πολλαπλά κυβερνητικά επίπεδα», αλλά αρνήθηκε να προβεί σε περαιτέρω σχόλια.

Οι χάκερς έχουν επίσης παραβιάσει τα συστήματα ενός παρόχου υγειονομικής περίθαλψης με έδρα τις ΗΠΑ και έχουν βάλει στο στόχαστρο ένα δημόσιο πανεπιστήμιο στη Νοτιοανατολική Ασία, σύμφωνα με έκθεση μιας εταιρείας κυβερνοασφάλειας που εξέτασε το Bloomberg News. Η έκθεση δεν προσδιορίζει καμία από τις δύο οντότητες ονομαστικά, αλλά αναφέρει ότι οι χάκερς επιχείρησαν να παραβιάσουν διακομιστές SharePoint σε χώρες όπως η Βραζιλία, ο Καναδάς, η Ινδονησία, η Ισπανία, η Νότια Αφρική, η Ελβετία, το Ηνωμένο Βασίλειο και οι ΗΠΑ. Η εταιρεία ζήτησε να μην κατονομαστεί λόγω της ευαισθησίας των πληροφοριών.

Οι χάκερς έχουν κλέψει διαπιστευτήρια σύνδεσης, συμπεριλαμβανομένων ονομάτων χρήστη, κωδικών πρόσβασης, κωδικών κατακερματισμού και μαρκών, από ορισμένα συστήματα, σύμφωνα με άτομο που γνωρίζει το θέμα, το οποίο ζήτησε να μην κατονομαστεί συζητώντας ευαίσθητες πληροφορίες.

«Πρόκειται για μια απειλή υψηλής σοβαρότητας, υψηλής επείγουσας ανάγκης», δήλωσε ο Michael Sikorski, επικεφαλής τεχνολογίας και επικεφαλής του τμήματος πληροφοριών απειλών της Μονάδας 42 της Palo Alto Networks Inc.

«Αυτό που το καθιστά ιδιαίτερα ανησυχητικό είναι η βαθιά ενσωμάτωση του SharePoint με την πλατφόρμα της Microsoft, συμπεριλαμβανομένων των υπηρεσιών της, όπως το Office, το Teams, το OneDrive και το Outlook, το οποίο έχει όλες τις πληροφορίες που είναι πολύτιμες για έναν επιτιθέμενο», είπε.

Η εταιρεία στον κυβερνοχώρο Eye Security δήλωσε ότι τα ελαττώματα επιτρέπουν στους χάκερ να έχουν πρόσβαση στους διακομιστές SharePoint και να κλέβουν κλειδιά που τους επιτρέπουν να υποδύονται χρήστες ή υπηρεσίες ακόμη και μετά την επιδιόρθωση του διακομιστή. Είπε ότι οι χάκερ μπορούν να διατηρήσουν την πρόσβαση μέσω backdoors ή τροποποιημένων στοιχείων που μπορούν να επιβιώσουν από ενημερώσεις και επανεκκινήσεις των συστημάτων.

Οι παραβιάσεις προκάλεσαν νέο έλεγχο στις προσπάθειες της Microsoft να ενισχύσει την ασφάλειά της μετά από μια σειρά αποτυχιών υψηλού προφίλ. Η εταιρεία έχει προσλάβει στελέχη από χώρους όπως η κυβέρνηση των ΗΠΑ και πραγματοποιεί εβδομαδιαίες συναντήσεις με ανώτερα στελέχη για να καταστήσει το λογισμικό της πιο ανθεκτικό. Η τεχνολογία της εταιρείας αποτέλεσε αντικείμενο πολλών εκτεταμένων και επιζήμιων παραβιάσεων τα τελευταία χρόνια και μια έκθεση της αμερικανικής κυβέρνησης του 2024 περιέγραψε την κουλτούρα ασφαλείας της εταιρείας ως έχουσα ανάγκη επειγουσών μεταρρυθμίσεων.

Η Eye Security εντόπισε παραβιάσεις σε περισσότερους από 100 διακομιστές που αντιπροσωπεύουν 60 θύματα, συμπεριλαμβανομένων οργανισμών στον τομέα της ενέργειας, εταιρειών συμβούλων και πανεπιστημίων. Τα θύματα βρίσκονταν επίσης στη Σαουδική Αραβία, το Βιετνάμ, το Ομάν και τα Ηνωμένα Αραβικά Εμιράτα, σύμφωνα με την εταιρεία.

Στις αρχές Ιουλίου, η Microsoft εξέδωσε διορθώσεις για τα κενά ασφαλείας, αλλά οι χάκερς βρήκαν άλλον τρόπο να εισέλθουν.

«Υπήρχαν τρόποι για να παρακάμψουν τις διορθώσεις» που επέτρεπαν στους χάκερς να εισβάλουν στους διακομιστές SharePoint αξιοποιώντας παρόμοια τρωτά σημεία, δήλωσε η Vaisha Bernard, επικεφαλής χάκερ και συνιδιοκτήτρια της Eye Security. «Αυτό επέτρεψε να συμβούν αυτές οι επιθέσεις». Οι εισβολές, είπε, δεν ήταν στοχευμένες και αντίθετα είχαν ως στόχο να θέσουν σε κίνδυνο όσο το δυνατόν περισσότερα θύματα.

Ο ίδιος αρνήθηκε να προσδιορίσει την ταυτότητα των οργανισμών που είχαν στοχοποιηθεί, αλλά δήλωσε ότι περιλάμβαναν κυβερνητικές υπηρεσίες και ιδιωτικές εταιρείες, συμπεριλαμβανομένων «μεγαλύτερων πολυεθνικών εταιρειών». Τα θύματα βρίσκονταν σε χώρες της Βόρειας και της Νότιας Αμερικής, της Ευρωπαϊκής Ένωσης, της Νότιας Αφρικής και της Αυστραλίας, είπε.