До атак на Microsoft SharePoint причетні китайські хакери

Нещодавно хакери атакували SharePoint — вебплатформу від Microsoft, яку компанії та держустанови використовують для зберігання та спільної роботи з документами. Вони скористалися вразливістю в системі безпеки серверів. Постраждали сотні організацій по всьому світу. За деякими з атак стояли угруповання, пов’язані з урядом Китаю, розповідає The Washington Post.

Microsoft попередила клієнтів, що хакери могли отримати доступ до документів їхніх організацій. Компанія вже випустила оновлення, щоб усунути вразливість, і працює над додатковими виправленнями. Водночас Microsoft радить користувачам змінити цифрові ключі систем, перевірити комп’ютери антивірусом і з’ясувати, чи не було вже порушень безпеки.

Якщо точніше, атаки дозволяли хакерам отримати криптографічні ключі з серверів, якими керують самі клієнти Microsoft. Завдяки цим ключам зловмисники могли встановлювати будь-яке програмне забезпечення, зокрема бекдори — приховані канали для повторного доступу. Вразливість виникала лише тоді, коли організації зберігали файли локально, а не у хмарному середовищі.

За словами кількох дослідників і організацій, принаймні частину атак здійснили хакери з Китаю. Головний технічний директор Google Mandiant Consulting Чарльз Кармакал підтвердив причетність Китаю. Ще один дослідник повідомив анонімно, що федеральні слідчі знайшли докази: сервери у США були пов’язані з зараженими системами SharePoint, які підключалися до китайських IP-адрес. Ще двоє фахівців, які працюють з урядом США, теж заявили, що помітили ранні атаки саме з боку Китаю.

Ще два спеціалісти, які першими реагують на кіберінциденти, повідомили, що серед перших жертв атак були організації, які могли становити інтерес для китайського уряду. Згодом почали надходити й інші сигнали: різні хакери теж намагалися скористатися вразливістю — хтось для крадіжки комерційних секретів, а хтось для встановлення програм-вимагачів, які шифрують важливі файли й вимагають викуп.

"Важливо розуміти, що зараз численні суб'єкти активно використовують цю вразливість. Ми повністю очікуємо, що ця тенденція продовжиться, оскільки різні інші зловмисники, керовані різними мотивами, також використовуватимуть цей експлойт", – сказав Кармакал з Google.