Η Microsoft επιβεβαίωσε ότι κρατικά υποστηριζόμενες κινεζικές ομάδες hacking εκμεταλλεύτηκαν σοβαρές ευπάθειες σε τοπικούς SharePoint servers, προκαλώντας παγκόσμιο συναγερμό στον χώρο της κυβερνοασφάλειας. Μεταξύ των επιτιθέμενων ομάδων περιλαμβάνονται οι Linen Typhoon, Violet Typhoon και Storm-2603.

Οι επιθέσεις δεν επηρέασαν την cloud πλατφόρμα Microsoft 365, αλλά στόχευσαν on-premises συστήματα που χρησιμοποιούνται σε κυβερνήσεις, επιχειρήσεις και στρατηγικούς τομείς.

Η Εθνική Υπηρεσία Πυρηνικής Ασφάλειας των ΗΠΑ (NNSA) ήταν μεταξύ των θυμάτων της ευπάθειας στο SharePoint. Παρόλο που δεν υπήρξε διαρροή διαβαθμισμένων πληροφοριών, η επίθεση έθεσε σε κίνδυνο κρίσιμες υποδομές. Η NNSA επηρεάστηκε ελάχιστα χάρη στην ευρεία χρήση του Microsoft 365 Cloud και στα προηγμένα συστήματα προστασίας της.

Οι επιθέσεις στους SharePoint servers αποδίδονται σε τρεις κύριες ομάδες με σύνδεση με την Κίνα: τους Linen Typhoon, Violet Typhoon και Storm-2603. Η ομάδα Linen Typhoon (γνωστή και ως APT31) δραστηριοποιείται εδώ και πάνω από 13 χρόνια, με επίκεντρο την κλοπή πνευματικής ιδιοκτησίας και την παραβίαση οργανισμών στρατηγικής σημασίας, όπως εκείνοι που σχετίζονται με την άμυνα, τον στρατηγικό σχεδιασμό και τα ανθρώπινα δικαιώματα.

Η Violet Typhoon ειδικεύεται στην κατασκοπεία, στοχεύοντας πρώην κυβερνητικούς υπαλλήλους, μη κυβερνητικές οργανώσεις (ΜΚΟ), think tanks, πανεπιστήμια, μέσα ενημέρωσης, αλλά και οργανισμούς στον οικονομικό και υγειονομικό τομέα, κυρίως σε ΗΠΑ, Ευρώπη και Ανατολική Ασία.

Τέλος, η ομάδα Storm-2603, η οποία εκτιμάται με “μεσαία εμπιστοσύνη” ότι έχει έδρα την Κίνα, φέρεται να συμμετείχε σε μαζικές, ευκαιριακές επιθέσεις, εκμεταλλευόμενη τα κενά ασφαλείας του SharePoint πριν κυκλοφορήσουν οι σχετικές ενημερώσεις ασφαλείας από τη Microsoft.

Η Microsoft υποστήριξε ότι οι επιθέσεις στόχευσαν την κλοπή «key material» από τους servers, επιτρέποντας παρατεταμένη πρόσβαση στα δεδομένα των θυμάτων.

Ο Charles Carmakal, CTO της Mandiant (Google Cloud), ανέφερε ότι έχουν καταγραφεί πολλαπλά θύματα σε διαφορετικούς τομείς και περιοχές, ενώ επισήμανε πως οι επιθέσεις ήταν ιδιαίτερα ευκαιριακές και εκτεταμένες.

“Αυτός είναι ο λόγος που το περιστατικό είναι σημαντικό: η επίθεση έγινε μαζικά πριν διορθωθεί η ευπάθεια,” δήλωσε.

Η Microsoft έχει ήδη διαθέσει επείγουσες ενημερώσεις ασφαλείας για όλες τις επηρεαζόμενες εκδόσεις του SharePoint και καλεί όλες τις επιχειρήσεις και οργανισμούς με on-premises εγκαταστάσεις να προχωρήσουν άμεσα σε αναβάθμιση.

Παράλληλα, η εταιρεία συνεχίζει τις έρευνες για τυχόν επιπλέον ομάδες που εκμεταλλεύτηκαν τις ίδιες ευπάθειες.

Οι πρόσφατες επιθέσεις αποκαλύπτουν τις σοβαρές γεωπολιτικές διαστάσεις του κυβερνοχώρου και την ανάγκη για έγκαιρη ενημέρωση των συστημάτων, επένδυση σε cloud υποδομές και συνεργασία μεταξύ δημοσίου και ιδιωτικού τομέα για την αντιμετώπιση διακρατικών απειλών.