O vulnerabilitate critică în serverele Microsoft SharePoint este exploatată intens de hackeri din întreaga lume, iar China se află în prim-planul atacurilor, potrivit unei investigații realizate de Axios. În ciuda actualizărilor de securitate lansate de Microsoft, multe sisteme rămân în continuare expuse, în special dacă atacatorii au reușit deja să pătrundă și să își asigure acces permanent în rețelele compromise.
SharePoint, un instrument-cheie pentru stocarea și partajarea documentelor în companii, instituții publice și organizații guvernamentale, este utilizat pe scară largă de școli, spitale și agenții ale statului, multe dintre ele fiind acum în alertă maximă și încercând să stabilească dacă infrastructura le-a fost compromisă.
Luni, Microsoft a confirmat că cel puțin trei grupuri de hackeri chinezi – dintre care două au legături directe cu guvernul de la Beijing – exploatează vulnerabilitatea încă din 7 iulie. Atacul este clasificat ca fiind de tip „zero-day”, adică exploatat înainte ca Microsoft să fi avut cunoștință și să poată furniza un remediu.
Potrivit Agenției americane pentru Securitate Cibernetică și Infrastructură (CISA), atacatorii pot obține acces deplin la fișiere sensibile sau pot executa cod malițios de la distanță. Estimările arată că aproximativ 100 de organizații au fost deja compromise, printre care se numără instituții guvernamentale, universități, o companie energetică și o firmă de telecomunicații din Asia.
„Nu mai este vorba doar de un singur grup de hackeri. Toți profită acum,” avertizează Michael Sikorski, director tehnic la Unit 42, divizia de securitate a Palo Alto Networks. Charles Carmakal, CTO la Mandiant, confirmă că multiple grupuri se grăbesc să exploateze breșa, într-o cursă contra-cronometru pentru a fura date și a instala backdoor-uri.
Deși Microsoft a lansat patch-uri de securitate pentru toate versiunile afectate, realitatea este că sistemele deja compromise rămân vulnerabile. Hackerii au furat chei de acces și au instalat mecanisme care le permit să reintre oricând, chiar dacă sistemele par a fi protejate. „Atacul se amestecă cu activitatea normală a sistemului, ceea ce face extrem de greu de detectat anomaliile,” explică Kayne McGladrey, expert în securitate cibernetică.
Sute de victime pot rămâne neinformate cu privire la compromiterea serverelor. „Organizațiile care nu au echipe specializate în detectarea amenințărilor nu au nici vizibilitatea necesară pentru a înțelege ce li se întâmplă,” avertizează McGladrey.
Cele mai afectate sunt entitățile publice cu infrastructură tehnică învechită: școli, spitale și agenții de stat care folosesc servere SharePoint mai vechi și care nu dispun de resurse pentru răspuns rapid sau instrumente avansate de detecție. „Este îngrijorător că multe dintre aceste organizații nu au capacitatea de a reacționa eficient,” adaugă Sikorski.
Experții estimează că vor urma valuri succesive de atacuri. Hackerii oportuniști vor căuta să exploateze rapid serverele pentru a instala ransomware sau a fura baze de date. În paralel, grupurile de atacatori afiliate statelor vor desfășura campanii discrete, pe termen lung, cu scopul de a extrage informații sensibile și de a-și păstra accesul în rețele compromise, uneori luni sau chiar ani, fără a fi detectați.
