“Дослідники кажуть, що китайські суб’єкти разом з іншими злочинними хакерами використовували недолік безпеки в програмному забезпеченні SharePoint, широко використовуваних урядами та підприємствами.”, – Напишіть: www.washingtonpost.com
Порушення в Сполучених Штатах та інших країнах скористалися катастрофічною недоліком безпеки, яка привернула увагу цього місяця, після того, як Microsoft випустила патч, який вирішив лише частину проблеми в SharePoint, який широко використовується для координації роботи над документами та проектами.
“Ми оцінюємо, що принаймні одним із суб’єктів, відповідальних за цю ранню експлуатацію, є актор загрози в Китаї”,-сказав Чарльз Кармакал, головний директор з технологій Google Mandiant Consulting.
Інший дослідник, який, як і інші, говорив про стан анонімності, оскільки розслідування все ще триває, заявив, що федеральні слідчі мають докази американських серверів, пов’язаних з порушеними системами SharePoint, що з’єднуються з інтернет-адресами протоколу всередині Китаю в п’ятницю та суботу.
ФБР, Білий дім та Агентство кібербезпеки та інфраструктурної безпеки департаменту внутрішньої безпеки відмовилися від коментарів у понеділок.
Двоє інших реагуючих, які працюють з урядом США, заявили, що вони також визначили ранні напади з Китаю. Посольство Китаю у Вашингтоні не одразу відповіло на запит про коментар.
Атаки дозволили хакерам витягувати криптографічні ключі з серверів, якими керує клієнти Microsoft. Ці клавіші, у свою чергу, дозволять їм встановити що завгодно, включаючи задні двері, які вони могли використовувати для повернення. Федеральні та державні установи постраждали, раніше дослідники розповіли The Washington Post, але залишається незрозумілим, хто з них був вразливим до подальших атак.
Вразливі лише версії SharePoint, які розміщують замовник, а не ті, хто в хмарі. Microsoft випустила ефективні патчі для останніх оголених версій до понеділка.
Хоча встановлення патчів повинно запобігти новим вторгнень, клієнтам також потрібно змінити цифрові клавіші машини, застосувати програмне забезпечення проти зловмисного програмного забезпечення та полювати на будь-які порушення, які вже відбулися, сказав Microsoft.
Деякі з ранніх цілей нападу були суб’єктами, які зацікавились урядом Китаю, заявили два відповіді. Але широкий спектр зловмисників зараз намагався подібні захоплення, – сказали інші, прагнучи вкрасти корпоративні таємниці або встановити програмне забезпечення, яке шифрує ключові файли, поки не здійснюються платежі.
“Важливо розуміти, що кілька акторів зараз активно використовують цю вразливість. Ми повністю передбачаємо, що ця тенденція продовжиться, оскільки різні інші суб’єкти загрози, керовані різними мотиваціями, також використовуватимуть цю експлуатацію”, – сказав Кармакал.
Піет Керхофс, CTO та співзасновник Eye Eye Bearge, заявив, що порушення SharePoint поділяють характеристики з іншими компромісами, які дослідники безпеки приписували хакерам, що базуються в Китаї.
Наприклад, хакери цього місяця експлуатували вразливість у віртуальному робочому столі Netscaler Citrix, який деякі дослідники бачили, як використовували китайські актори, сказав Керхофс. Цей хак був схожий на компроміс SharePoint, оскільки він перетворив щойно виявлену вразливість у “експлуатацію” або зброю – у “надзвичайно швидкому” порядку “години до днів”, – сказав він.
Іншим екземпляром був глобальний компроміс Китаю серверів електронної пошти Microsoft Exchange на початку 2021 року. Цей випадок стосувався хакерів, спонсорованих китайським урядом, що проводить широку експлуатацію основного програмного забезпечення Microsoft – його програмного забезпечення електронної пошти Exchange.
Це порушення було віднесено до групи, яку Microsoft називає Silk Typhoon, який пов’язаний з Міністерством державної безпеки Китаю. Це одна з найбільш технічно розвинених хакерських груп у світі і вражає чутливими цілями в США зі збільшенням темпів за останній рік, повідомляє Post минулого тижня.
Шовковий тайфун в минулому розбився на кілька федеральних агентств США, а нещодавно потрапили в декілька міністерств Європи, повідомляє The Post.