Globální prostředí kybernetické bezpečnosti nadále představuje pro podniky značné výzvy, což podtrhuje nedávné odhalení společnosti Microsoft ohledně sofistikovaného kybernetického útoku na její široce používaný systém pro sdílení souborů SharePoint. Technologický gigant identifikoval tři odlišné hackerské skupiny sídlící v Číně jako odpovědné za probíhající narušení, čímž zdůraznil přetrvávající hrozbu, kterou představují státem sponzorovaní aktéři zaměřující se na kritickou podnikovou infrastrukturu a citlivá data.
- Microsoft odhalil sofistikovaný kybernetický útok na SharePoint.
- Za útokem stojí tři čínské hackerské skupiny: Linen Typhoon, Violet Typhoon a Storm-2603.
- První upozornění na zranitelnosti lokálních serverů SharePoint bylo vydáno 19. července.
- Skupiny Linen Typhoon (aktivní od 2012) a Violet Typhoon (aktivní od 2015) byly identifikovány jako aktivně zneužívající zranitelnosti.
- Microsoft vydal bezpečnostní aktualizace pro všechny verze SharePointu a doporučuje jejich okamžitou instalaci.
Detaily kybernetického útoku
Microsoft poprvé upozornil uživatele na zranitelnosti ovlivňující lokální servery SharePoint 19. července, přičemž podrobně popsal, jak útočníci zneužívali slabiny související s falšováním identity (spoofing) a vzdáleným spouštěním kódu. SharePoint, platforma pro spolupráci navržená pro bezpečné sdílení informací v rámci organizací, se stal vektorem pro tyto skupiny usilující o neoprávněný přístup. Následné vyšetřování vedlo Microsoft k veřejnému připsání této kampaně konkrétním subjektům.
Centrum pro reakci na bezpečnostní incidenty společnosti Microsoft identifikovalo dva pojmenované čínské státní aktéry, Linen Typhoon a Violet Typhoon, jako ty, kteří aktivně zneužívají tyto zranitelnosti na serverech SharePoint vystavených internetu. Kromě toho byl pozorován třetí čínský útočník, sledovaný jako Storm-2603, zapojený do podobných zneužívajících aktivit. Tento mnohostranný útok demonstruje koordinované nebo paralelní úsilí sofistikovaných skupin.
Profily hrozeb: Linen Typhoon, Violet Typhoon a Storm-2603
Analýza profilů těchto útočníků odhaluje odlišná operační zaměření. Linen Typhoon, aktivní od roku 2012, se primárně soustředí na krádeže duševního vlastnictví, konkrétně cílí na organizace zapojené do vládních záležitostí, obrany, strategického plánování a lidských práv. Tato skupina je známá využíváním stávajících exploitů a útoků typu „drive-by compromise“ k infiltraci organizací. Violet Typhoon, fungující od roku 2015, se specializuje na špionáž. Jejími cíli jsou bývalí vládní a vojenští pracovníci, nevládní organizace, think-tanky, instituce vyššího vzdělávání, digitální a tištěná média, stejně jako finanční a zdravotnický sektor napříč USA, Evropou a východní Asií. Tato skupina obvykle vyhledává zranitelnosti v exponované webové infrastruktuře, aby mohla instalovat webové shelly pro trvalý přístup.
Méně informací je k dispozici o skupině Storm-2603. Microsoft ji se střední mírou důvěry hodnotí jako čínského útočníka a poznamenává, že nebyly zjištěny žádné přímé vazby na jiné známé čínské hackerské skupiny. Ačkoli tato skupina v minulosti nasazovala ransomware, její současné cíle v kampani SharePoint zůstávají nepotvrzené. V reakci na tyto probíhající hrozby vydal Microsoft bezpečnostní aktualizace pro všechny verze SharePointu a naléhavě vyzývá zákazníky, aby tyto záplaty okamžitě aplikovali k zmírnění rizik a ochraně svých systémů.