Κινέζοι κρατικά υποστηριζόμενοι χάκερ βρίσκονται πίσω από ένα νέο κύμα κυβερνοεπιθέσεων που εκμεταλλεύονται κρίσιμα κενά ασφαλείας στο SharePoint της Microsoft, με θύματα δεκάδες δημόσιους και ιδιωτικούς οργανισμούς παγκοσμίως, συμπεριλαμβανομένης και της Υπηρεσίας Πυρηνικής Ασφάλειας των ΗΠΑ (NNSA).
Η Microsoft, σε σχετική ανάρτηση σε blog της, αποκάλυψε ότι οι ομάδες Linen Typhoon και Violet Typhoon, που συνδέονται με το Πεκίνο, αξιοποίησαν ευπάθειες στη δημοφιλή πλατφόρμα διαμοιρασμού εγγράφων SharePoint, η οποία χρησιμοποιείται από οργανισμούς που διατηρούν το σύστημα τοπικά και όχι στο cloud.
Την ίδια τακτική ακολούθησε και τρίτη κινεζική ομάδα, γνωστή ως Storm-2603, σύμφωνα με την εταιρεία.
Ποιοι βρέθηκαν στο στόχαστρο
Η λίστα των θυμάτων διευρύνεται διαρκώς. Πηγή με γνώση της υπόθεσης ανέφερε στο Bloomberg ότι οι χάκερ παραβίασαν συστήματα της NNSA, που υπάγεται στο Υπουργείο Ενέργειας των ΗΠΑ και έχει την ευθύνη για τον σχεδιασμό και την αποσυναρμολόγηση των αμερικανικών πυρηνικών όπλων. Παράλληλα, παραβιάστηκαν και υποδομές άλλων κρατικών υπηρεσιών, όπως το Υπουργείο Παιδείας των ΗΠΑ, το Τμήμα Εσόδων της Φλόριντα και η Γενική Συνέλευση του Ρόουντ Άιλαντ.
Παρότι η Microsoft εξέδωσε ενημερώσεις ασφαλείας στις αρχές Ιουλίου, οι ερευνητές κυβερνοασφάλειας αναφέρουν ότι χάκερ έχουν ήδη εκμεταλλευτεί τα κενά σε πάνω από 100 servers, με περισσότερους από 60 επιβεβαιωμένους στόχους, όπως ενεργειακές εταιρείες, συμβουλευτικές και πανεπιστήμια. Επιθέσεις έχουν εντοπιστεί και σε κρατικά δίκτυα στην Ευρώπη, στη Μέση Ανατολή, αλλά και σε χώρες όπως η Σαουδική Αραβία, το Βιετνάμ, το Ομάν και τα Ηνωμένα Αραβικά Εμιράτα.
Σύμφωνα με τον Άνταμ Μάγιερς της CrowdStrike, η εκμετάλλευση των κενών ξεκίνησε από τις 7 Ιουλίου. Αρχικά, οι επιθέσεις θύμιζαν δράση κυβερνοκατασκοπείας με κρατική στήριξη, και στη συνέχεια επεκτάθηκαν σε πιο ευρεία κλίμακα με «σαφές κινεζικό αποτύπωμα».
Τι έκλεψαν οι χάκερ
Η Eye Security, που ερευνά την υπόθεση, σημειώνει ότι ακόμη και αφού εγκαταστάθηκαν τα patches, οι χάκερ κατάφεραν να διατηρήσουν πρόσβαση μέσω πίσω πορτών και τροποποιημένων αρχείων, επιτρέποντάς τους να μιμούνται έγκυρους χρήστες ή υπηρεσίες.
Οι χάκερ φέρεται να υπέκλεψαν διαπιστευτήρια πρόσβασης –όπως ονόματα χρηστών, κωδικούς, hash codes και tokens– από ορισμένα συστήματα, ανέφερε πηγή που δεν κατονομάζεται. Η ίδια πηγή κάνει λόγο για υψηλής σοβαρότητας απειλή, λόγω της βαθιάς ενσωμάτωσης του SharePoint με βασικές υπηρεσίες της Microsoft, όπως το Office, το Teams, το OneDrive και το Outlook.
Η κινεζική πρεσβεία στην Ουάσινγκτον αρνήθηκε κάθε ανάμειξη, κάνοντας λόγο για «ανυπόστατες κατηγορίες χωρίς αποδείξεις» και καλώντας σε «υπεύθυνη στάση» στην απόδοση ευθυνών.
Η Microsoft δηλώνει ότι οι έρευνες για την έκταση των επιθέσεων συνεχίζονται, τονίζοντας με «υψηλή βεβαιότητα» ότι οι χάκερ θα συνεχίσουν να ενσωματώνουν τα ευρήματα στις μελλοντικές επιχειρήσεις τους.
Εν τω μεταξύ, εσωτερικές έρευνες και επιτροπές ασφαλείας εξετάζουν τη διαχείριση κρίσεων από πλευράς Microsoft, μετά και το αποδομητικό πόρισμα της αμερικανικής κυβέρνησης το 2024, το οποίο καλούσε την εταιρεία σε άμεση αναμόρφωση της κουλτούρας κυβερνοασφάλειας.
