(Bloomberg) -- Компания Майкрософт обвинила китайских государственных хакеров в использовании уязвимостей в своем программном обеспечении для управления документами SharePoint в хакерской кампании, которая нацелилась на бизнес и правительственные агентства по всему миру.
В блоге, опубликованном во вторник, технологический гигант выделил две группы, поддерживаемые китайским правительством, Линен Тайфун и Фиолетовый Тайфун, как использующие уязвимости в программном обеспечении SharePoint, используемом клиентами, управляющими ими в собственных сетях, а не в облаке. Еще одна хакерская группа, базирующаяся в Китае, которую Майкрософт называет Шторм-2603, также использовала уязвимости SharePoint, согласно блогу.
Исследование других акторов, использующих эти эксплойты, все еще продолжается, сообщила Майкрософт. С быстрым распространением этих эксплойтов Майкрософт с высокой уверенностью оценивает, что злоумышленники продолжат интегрировать их в свои атаки.
В заявлении Посольства Китая говорится, что Китай твердо противостоит всем формам кибератак и киберпреступности.
Также мы твердо противостоим дискредитации других без достаточных доказательств, - говорится в заявлении.
Мы надеемся, что соответствующие стороны будут относиться к киберинцидентам профессионально и ответственно, опираясь на достаточные доказательства, а не на необоснованные предположения и обвинения, - говорится в заявлении.
По словам представителей двух фирм по кибербезопасности, CrowdStrike Holdings Inc. и консалтинговой фирмы Мандиант компании Google, множество хакерских групп используют уязвимости в популярном программном обеспечении Майкрософт.
Хакеры использовали уязвимость для вторжения в системы национальных правительств в Европе и на Ближнем Востоке, сказал источник, знакомый с ситуацией. В США они получили доступ к правительственным системам, включая системы Министерства образования, Департамента доходов Флориды и Генеральной ассамблеи Род-Айленда, сказал источник, который попросил не называть его, обсуждая чувствительную информацию.
Типы организаций, на которые направлены атаки, техники и другие начальные доказательства согласуются с китайским государственным шпионажем, сказал исследователь швейцарского университета ETH Цюрих, специализирующийся на анализе китайских атак.
Атакующие эксплуатировали уязвимости в SharePoint, по меньшей мере, с 7 июля, сказал Адам Мейерс, старший вице-президент CrowdStrike. Первоначальные эксплойты напоминали деятельность, спонсируемую правительством, а затем распространились более широко, включая хакерство, которое похоже на китайское, сказал Мейерс. Исследование CrowdStrike по этой кампании все еще продолжается, добавил он.
Майкрософт выпустил исправления для уязвимостей в SharePoint.
Представители Министерства образования и законодательного собрания Род-Айленда не ответили на звонки и электронные письма, направленные на получение комментариев в понедельник. Представитель Департамента доходов Флориды, Бетани Вестер Кутильо, сказала в электронной почте, что уязвимости SharePoint расследуются на различных уровнях правительства, но что агентство государственной безопасности не комментирует публично программное обеспечение, которое мы используем для операций.
Хакеры также взломали системы американского провайдера здравоохранения и нацелились на государственный университет в Юго-Восточной Азии, согласно отчету фирмы по кибербезопасности, рассмотренному агентством Bloomberg News. В отчете не указывается имя ни одной из этих организаций, но говорится, что хакеры пытались взломать серверы SharePoint в странах, включая Бразилию, Канаду, Индонезию, Испанию, Южно-Африканскую Республику, Швейцарию, Великобританию и США. Фирма попросила не называть ее из-за чувствительности информации.
Хакеры похитили учетные данные для входа, включая имена пользователей, пароли, хэш-коды и токены, с некоторых систем, сказал источник, знакомый с ситуацией, который также высказался при условии, что его не называют, обсуждая чувствительную информацию.
Это угроза высокой степени тяжести и срочности, - сказал Майкл Сикорски, главный технолог и руководитель службы угроз Unit 42 в Palo Alto Networks Inc.
Особенно беспокоит то, что SharePoint глубоко интегрирован с платформой Майкрософт, включая их сервисы, такие как Office, Teams, OneDrive и Outlook, которые содержат всю информацию, ценную для злоумышленника, - сказал он.
Множество компаний и учреждений по всему миру используют SharePoint для хранения и совместной работы над документами. Майкрософт заявил, что злоумышленники специально нацелены на клиентов, работающих на серверах SharePoint в их собственных сетях, в отличие от того, чтобы быть размещенными и управляемыми технологической фирмой.
Киберфирма Eye Security заявила, что уязвимости позволяют хакерам получить доступ к серверам SharePoint и похитить ключи, которые могут позволить им выдавать себя за пользователей или службы даже после устранения уязвимости на сервере. Она сказала, что хакеры могут сохранять доступ через задние двери или измененные компоненты, которые могут выжить после обновлений и перезагрузок систем.
Взломы привлекли новое внимание к усилиям Майкрософт укрепить свою безопасность после серии крупных неудач. Компания нанимала руководителей из мест, таких как правительство США, и проводит еженедельные встречи с высшими руководителями для улучшения устойчивости своего программного обеспечения. Технология компании подвергалась нескольким широким и разрушительным взломам в последние годы, и отчет правительства США 2024 года описывал культуру безопасности компании как нуждающуюся в срочных реформах.
Eye Security обнаружила компрометации на более чем 100 серверах, представляющих 60 жертв, включая организации в энергетическом секторе, консалтинговые фирмы и университеты. Жертвы также находились в Саудовской Аравии, Вьетнаме, Омане и Объединенных Арабских Эмиратах, согласно компании.
В начале июля Майкрософт выпустил исправления для устранения уязвимостей, но хакеры нашли другой способ взлома.
Существовали обходные пути вокруг исправлений, которые позволили хакерам взломать серверы SharePoint, используя аналогичные уязвимости, - сказал Вайша Бернард, главный хакер и совладелец Eye Security. Это позволило этим атакам произойти. Вторжения, по его словам, не были направлены и, вместо этого, были направлены на компрометацию как можно большего числа жертв.
Он отказался назвать идентичность организаций, которые были нацелены, но сказал, что среди них были правительственные агентства и частные компании, включая крупные многонациональные компании. Жертвы находились в странах Северной и Южной Америки, ЕС, Южной Африки и Австралии, добавил он.
-- При поддержке Джейн Ланхи Ли, Линн Доан, Камерон Фози, Броди Форда, Даниэля Кэнсела, Ашны Шах, Марка Андерсона и Эдвина Чена.
(Обновлено с графикой и переработкой большей части истории.)
2025 Bloomberg L.P.