| 0 |
|
Масштабна кампанія кібершпигунства, що використовує вразливі версії серверного програмного забезпечення Microsoft SharePoint, вже вразила близько 400 організацій по всьому світу. За даними дослідників нідерландської компанії Eye Security, ця цифра, отримана шляхом підрахунку цифрових артефактів на скомпрометованих серверах, зросла зі 100 організацій, виявлених на вихідних, і, ймовірно, є заниженою.
Вайша Бернард (Vaisha Bernard), головний фахівець Eye Security, однієї з перших організацій, що повідомила про витоки, зазначив: «Жертв набагато більше, оскільки не всі вектори атак залишили артефакти, які ми могли б сканувати».
Деталі більшості постраждалих організацій ще не повністю розкриті, але в середу представник Національних інститутів охорони здоров'я США підтвердив, що один із серверів їхньої організації був скомпрометований. «Додаткові сервери були ізольовані як запобіжний захід», — повідомив він.
Кібершпигунська кампанія почалася після того, як Microsoft не змогла повністю виправити вразливість безпеки у своєму програмному забезпеченні SharePoint Server. Раніше цього місяця Microsoft запропонувала патч, але хакери швидко знайшли обхідні шляхи, які дозволили їм обійти виправлення. Компанія випустила другий патч у понеділок для вирішення цієї проблеми.
Також у своєму блозі Microsoft детально повідомила, що три хакерські групи, пов'язані з Китаєм, використовують ці вразливості для здійснення кібератак. Ці групи відстежуються як Linen Typhoon, Violet Typhoon та Storm-2603. Linen Typhoon активна з 2012 року і переважно зосереджена на крадіжці інтелектуальної власності в чутливих галузях, таких як оборонний сектор. Violet Typhoon проводить шпигунські кампанії проти нинішніх та колишніх урядовців, тоді як Storm-2603 спеціалізується на кампаніях програм-вимагачів.
«Розслідування щодо інших суб'єктів, які також використовують ці експлойти, все ще тривають, — написали дослідники Microsoft. - З огляду на швидке впровадження цих експлойтів, Microsoft з високою впевненістю оцінює, що актори загроз продовжуватимуть інтегрувати їх у свої атаки проти непатчених локальних систем SharePoint».
Microsoft визначила, що пов'язані з Китаєм хакери використовують багатоетапний робочий процес для експлуатації вразливостей. Спочатку вони встановлюють шкідливий скрипт, що дозволяє їм віддалено отримати доступ до середовища SharePoint. Потім скрипт завантажує додаткове шкідливе ПЗ, яке маскує витік та викрадає дані. За даними Microsoft, дані, до яких отримує доступ шкідливе ПЗ, включають криптографічні ключі, які SharePoint використовує для перевірки запитів користувачів. Використовуючи ці ключі, хакери можуть відновити доступ до скомпрометованого середовища SharePoint навіть після його патчування. Як наслідок, компанія радить постраждалим клієнтам оновлювати свої ключі після патчування своїх розгортань.
Вважається, що хакери скомпрометували десятки організацій у телекомунікаційному, програмному та державному секторах. У понеділок The Washington Post повідомила, що щонайменше дві федеральні агенції США були зламані. Того ж дня Агентство кібербезпеки та безпеки інфраструктури США (CISA) опублікувало рекомендації щодо реагування організацій на цю хакерську кампанію.
«Останнє попередження CISA підкреслює сувору реальність: зловмисники все частіше експлуатують легітимні ідентифікатори та дозволи, а не лише технічні вразливості, - заявив Майк Тауерс (Mike Towers), головний директор з питань довіри та безпеки кібербезпекової компанії Veza - Справжній ризик - це не лише початковий доступ, а невидиме поширення привілеїв у таких платформах, як SharePoint».
Стратегія охолодження ЦОД для епохи AI
| 0 |
|
