Microsoft: Κινέζοι χάκερ παραβίασαν 400 οργανισμούς - Θύμα και η Πυρηνική Υπηρεσία των ΗΠΑ

Η Microsoft ανακοίνωσε ότι «φορείς απειλής» από την Κίνα, συμπεριλαμβανομένων χάκερ που υποστηρίζονται από το κράτος, εκμεταλλεύτηκαν σοβαρά κενά ασφαλείας στους διακομιστές κοινής χρήσης εγγράφων SharePoint, με στοιχεία που δείχνουν ότι έχουν παραβιαστεί εκατοντάδες κρατικοί οργανισμοί και φορείς.

Οι χάκερ έχουν ήδη παραβιάσει 400 οργανισμούς, επιχειρήσεις και άλλες ομάδες μέσω ευπαθειών σε συστήματα της Microsoft, δήλωσε η ολλανδική εταιρεία κυβερνοασφάλειας Eye Security, προσθέτοντας: «Αναμένουμε ότι ο αριθμός μπορεί να συνεχίσει να αυξάνεται καθώς προχωρούν οι έρευνες».

Η πλειονότητα των θυμάτων εντοπίζεται στις Ηνωμένες Πολιτείες, ενώ το Bloomberg αναφέρει ότι ανάμεσα στους στόχους ήταν και η Εθνική Υπηρεσία Πυρηνικής Ασφάλειας των ΗΠΑ.

Η Microsoft προσδιόρισε τρεις ομάδες – τις Linen Typhoon και Violet Typhoon, που υποστηρίζονται από το κινεζικό κράτος, και την Storm-2603, που θεωρείται ότι εδρεύει στην Κίνα – οι οποίες χρησιμοποίησαν «νεοαποκαλυφθέντα κενά ασφαλείας» για να στοχοποιήσουν διακομιστές SharePoint εκτεθειμένους στο διαδίκτυο.

Η ανακοίνωση της Microsoft συνέπεσε με δημοσίευμα των Financial Times ότι η Amazon κλείνει το εργαστήριο τεχνητής νοημοσύνης της στη Σαγκάη, ενώ η McKinsey σταματά να αναλαμβάνει στην Κίνα εργασίες σχετικές με την AI, λόγω της αυξανόμενης γεωπολιτικής έντασης ΗΠΑ–Κίνας.

Τόσο η Microsoft όσο και η IBM έχουν περιορίσει τις ερευνητικές και αναπτυξιακές τους δραστηριότητες στην Κίνα, καθώς οι ΗΠΑ εντείνουν τον έλεγχο σε εταιρείες που δραστηριοποιούνται στην κινεζική αγορά τεχνητής νοημοσύνης.

Η Microsoft ανέφερε ότι οι ευπάθειες αφορούσαν τους τοπικούς διακομιστές SharePoint και όχι την cloud-based υπηρεσία της. Πολλοί μεγάλοι οργανισμοί χρησιμοποιούν το SharePoint για αποθήκευση και συνεργασία σε έγγραφα, καθώς συνεργάζεται άψογα με το Office και το Outlook.

Οι επιθέσεις ξεκίνησαν, σύμφωνα με τη Microsoft, στις 7 Ιουλίου και στόχευαν στην αρχική πρόσβαση στους οργανισμούς. Οι χάκερ μπορούσαν να πλαστογραφήσουν διαπιστευτήρια πιστοποίησης και να εκτελέσουν κακόβουλο κώδικα εξ αποστάσεως.

Η Microsoft παρατήρησε περιπτώσεις κατά τις οποίες οι επιτιθέμενοι απέστειλαν αιτήματα στους διακομιστές SharePoint για να κλέψουν κρίσιμα κρυπτογραφικά «κλειδιά».

Η εταιρεία προχώρησε άμεσα σε κυκλοφορία ενημερώσεων ασφαλείας και συνέστησε σε όλους τους χρήστες τοπικών διακομιστών να τις εγκαταστήσουν άμεσα. Προειδοποίησε ότι, με «υψηλή βεβαιότητα», οι ομάδες χάκερ θα συνεχίσουν να επιτίθενται σε μη ενημερωμένα συστήματα.

Η Eye Security ανακοίνωσε ότι εντόπισε «ασυνήθιστη δραστηριότητα» σε διακομιστή πελάτη στις 18 Ιουλίου και σάρωσε πάνω από 8.000 SharePoint διακομιστές παγκοσμίως, εντοπίζοντας δεκάδες παραβιασμένα συστήματα. Επιβεβαίωσε ότι πρόκειται για «συντονισμένη εκστρατεία μαζικής εκμετάλλευσης».

Η Microsoft σημειώνει πως η ομάδα Linen Typhoon δραστηριοποιείται από το 2012 με στόχο την κλοπή πνευματικής ιδιοκτησίας, κυρίως σε κυβερνητικούς, αμυντικούς και στρατηγικούς οργανισμούς.

Η Violet Typhoon φέρεται από το 2015 να εστιάζει σε κατασκοπεία πρώην στρατιωτικών, ΜΚΟ, think tanks, πανεπιστημίων, μέσων ενημέρωσης και οικονομικών και υγειονομικών φορέων σε ΗΠΑ, Ευρώπη και Ανατολική Ασία.

Για την τρίτη ομάδα, Storm-2603, η Microsoft δηλώνει «μέτρια εμπιστοσύνη» ότι εδρεύει στην Κίνα, χωρίς να έχει επιβεβαιώσει σύνδεσή της με άλλες κρατικά υποστηριζόμενες ομάδες.

Προειδοποιεί ότι κι άλλοι δρώντες μπορεί να στοχεύσουν τα ίδια ευάλωτα συστήματα εάν οι διορθώσεις ασφαλείας δεν εφαρμοστούν άμεσα.

(Με πληροφορίες του Guardian)