Η Microsoft αποκάλυψε ότι κρατικά υποστηριζόμενες ομάδες χάκερ από την Κίνα βρίσκονται πίσω από μια σειρά κυβερνοεπιθέσεων που εκμεταλλεύονται κρίσιμα κενά ασφαλείας στο λογισμικό SharePoint, με στόχο οργανισμούς σε όλο τον κόσμο. Μεταξύ των θυμάτων βρίσκεται και η Εθνική Υπηρεσία Πυρηνικής Ασφάλειας των ΗΠΑ, σύμφωνα με άτομο με γνώση της υπόθεσης.

Στο στόχαστρο η Εθνική Υπηρεσία Πυρηνικής Ασφάλειας

Οι χάκερ φέρεται να παραβίασαν τα συστήματα της ημιαυτόνομης υπηρεσίας, που υπάγεται στο Υπουργείο Ενέργειας και είναι υπεύθυνη για την παραγωγή και αποσυναρμολόγηση πυρηνικών όπλων. Άλλα τμήματα του Υπουργείου Ενέργειας επηρεάστηκαν επίσης, αν και η χρήση του cloud της Microsoft βοήθησε στον περιορισμό της ζημιάς, σύμφωνα με επίσημες δηλώσεις.

Παραβιάσεις σημειώθηκαν και σε άλλους φορείς, όπως το Υπουργείο Παιδείας των ΗΠΑ, το Υπουργείο Εσόδων της Φλόριντα και το νομοθετικό σώμα του Ρόουντ Άιλαντ, ενώ ανάμεσα στους στόχους συγκαταλέγεται και πάροχος υγειονομικής περίθαλψης με έδρα τις ΗΠΑ, καθώς και πανεπιστήμιο στη Νοτιοανατολική Ασία.

Τρεις κινεζικές ομάδες πίσω από τις επιθέσεις

Σύμφωνα με την ανάρτηση της Microsoft, οι ομάδες Linen Typhoon και Violet Typhoon, που φέρονται να υποστηρίζονται από την κινεζική κυβέρνηση, εκμεταλλεύτηκαν ευπάθειες του SharePoint που αφορούν εκδόσεις εγκατεστημένες σε τοπικά δίκτυα και όχι στο cloud. Μια τρίτη ομάδα, με την κωδική ονομασία Storm-2603, εντόπισε και αξιοποίησε επίσης τα κενά ασφαλείας.

Οι ερευνητές της CrowdStrike Holdings Inc. επιβεβαίωσαν ότι οι πρώτες ενδείξεις εκμετάλλευσης εμφανίστηκαν στις 7 Ιουλίου, με τον Adam Meyers, ανώτερο αντιπρόεδρο της εταιρείας, να δηλώνει ότι πρόκειται για ενέργειες που αρχικά φαινόταν να είναι «κρατικά χρηματοδοτούμενες» και στη συνέχεια εξελίχθηκαν σε επιθέσεις με κινεζικά χαρακτηριστικά.

Παγκόσμια εξάπλωση των επιθέσεων

Μέχρι στιγμής, έχουν εντοπιστεί περισσότεροι από 100 διακομιστές με ίχνη παραβίασης που αντιπροσωπεύουν τουλάχιστον 60 διαφορετικά θύματα, μεταξύ των οποίων ενεργειακοί οργανισμοί, συμβουλευτικές εταιρείες και πανεπιστήμια. Οι επιθέσεις έχουν καταγραφεί σε χώρες όπως οι ΗΠΑ, το Ηνωμένο Βασίλειο, η Ελβετία, η Ισπανία, ο Καναδάς, η Νότια Αφρική, η Ινδονησία, η Βραζιλία και άλλες.

Σύμφωνα με την εταιρεία Eye Security, οι χάκερ απέκτησαν πρόσβαση σε ευαίσθητα διαπιστευτήρια σύνδεσης, όπως ονόματα χρήστη, κωδικούς πρόσβασης και tokens, τα οποία μπορούν να χρησιμοποιηθούν για περαιτέρω διείσδυση στα συστήματα.

Δυσκολίες στον εντοπισμό και επίμονη παραμονή των εισβολέων

Ακόμη και μετά τις διορθώσεις που εξέδωσε η Microsoft στις αρχές Ιουλίου, οι επιθέσεις συνεχίστηκαν, καθώς οι χάκερ βρήκαν τρόπους να παρακάμψουν τα patches, σύμφωνα με τη Vaisha Bernard, επικεφαλής χάκερ και συνιδιοκτήτρια της Eye Security.

«Αυτό που είναι ιδιαίτερα ανησυχητικό», σχολίασε ο Michael Sikorski, CTO της Palo Alto Networks, «είναι το πόσο βαθιά ενσωματωμένο είναι το SharePoint στο οικοσύστημα της Microsoft — από το Office και το Outlook, μέχρι το Teams και το OneDrive». Σύμφωνα με τον ίδιο, οι εισβολές αποτελούν απειλή υψηλής σοβαρότητας και επείγουσας ανάγκης.

Η Eye Security προειδοποιεί ότι οι εισβολείς μπορούν να παραμείνουν σε συστήματα ακόμη και μετά από επιδιορθώσεις, χρησιμοποιώντας backdoors ή τροποποιημένα στοιχεία που επιβιώνουν από επανεκκινήσεις.

Πίεση στη Microsoft και αντίδραση της Κίνας

Οι εξελίξεις αυτές φέρνουν νέο κύμα κριτικής προς τη Microsoft, η οποία ήδη βρίσκεται υπό πίεση για σειρά αποτυχιών στην κυβερνοασφάλεια. Η εταιρεία έχει ανακοινώσει ότι ενισχύει την ασφάλεια, προσλαμβάνοντας ειδικούς από τον δημόσιο και τον ιδιωτικό τομέα, ενώ πραγματοποιεί τακτικές συναντήσεις υψηλού επιπέδου με στόχο την ενίσχυση της ανθεκτικότητας του λογισμικού της.

Από την πλευρά της, η κινεζική πρεσβεία στην Ουάσινγκτον αρνήθηκε κάθε ανάμειξη, δηλώνοντας ότι η Κίνα αντιτίθεται σθεναρά σε κάθε μορφή κυβερνοεπιθέσεων, ενώ κατηγόρησε τη Δύση για «συκοφαντίες χωρίς αποδείξεις».

«Ελπίζουμε ότι τα εμπλεκόμενα μέρη θα επιδείξουν επαγγελματισμό και υπευθυνότητα, βασίζοντας τις αξιολογήσεις τους σε στοιχεία και όχι σε αβάσιμες εικασίες», ανέφερε η ανακοίνωση.

Διαβάστε ακόμη: