Nagyszabású kínai hackertámadás zajlik a Microsoft rendszerein – céges szerverekhez is hozzáférhetnek

A Microsoft súlyos figyelmeztetést adott ki, vélhetően a kínai állam által támogatott hackerek tevékenységéről, akik biztonsági hibákat használnak ki a SharePoint szoftverben. A sebezhetőségekkel egyre több kormányzati hivatal és magáncég rendszereit törik fel világszerte.

A Microsoft egy részletes blogbejegyzésben három, Kínához köthető hackercsoportot tett felelőssé: a Linen Typhoont, a Violet Typhoont és a Storm-2603-at. A vállalat szerint ezek a csoportok a SharePoint olyan gyengeségeit használták ki, amelyek elsősorban azokat az ügyfeleket érintik, akik a szoftvert saját szervereken futtatják, nem pedig a Microsoft felhőalapú szolgáltatásain keresztül.

„Ezek a támadások jól mutatják a kiberbűnözés növekvő kifinomultságát és globális méretét” – írja a Microsoft, hozzátéve: a vizsgálatok még zajlanak, de „nagy bizonyossággal” állíthatják, hogy a hackerek „a jövőben is be fogják építeni ezeket a módszereket a támadásaikba”.

A legaggasztóbb esetek közé tartozik az NNSA feltörése, amely az Egyesült Államok nukleáris fegyvereinek tervezéséért és karbantartásáért felel. Egy, az ügyre rálátó forrás a Reutersnek megerősítette a betörés tényét, de azt állította, hogy a támadók minősített információkhoz nem fértek hozzá. Az amerikai energiaügyi minisztérium egyes részlegei szintén érintettek voltak, míg a Bloomberg szerint a hackerek bejutottak többek között az amerikai oktatási minisztérium, Florida adóhatósága és a Rhode Island-i törvényhozás rendszereibe is.

Amerikai kiberbiztonsági kutatók több mint 100 feltört szervert azonosítottak 60 különböző szervezetnél, például energetikai cégeknél, tanácsadó vállalatoknál és egyetemeknél, de nem csak az USA-ban: a nyomozást ismerő forrás szerint ott voltak a célpontok között európai és közel-keleti kormányok rendszerei is.

Az Eye Security kiberbiztonsági cég közölte: a legaggasztóbb az egészben az, hogy a Microsoft eddig kiadott javításait „meg lehetett kerülni”. Vaisha Bernard vezető etikus hacker hozzáfűzte: a támadások nem célzottak, hanem széles körűek voltak: a hackerek „minél több rendszert meg akartak fertőzni”.

Az Eye Security kompromittált szervereket észlelt több kontinensen és országban, köztük Szaúd-Arábiában, Vietnámban, Ománban, az Egyesült Arab Emírségekben, Dél-Afrikában, az Európai Unióban és az amerikai kontinensen. A vállalat nem nevezte meg az érintett szervezeteket, de megerősítette, hogy a célpontok között kormányzati szervek és multinacionális vállalatok egyaránt szerepelnek.

A hackerek bejelentkezési adatokat loptak el, többek között felhasználóneveket, jelszavakat, hash-kódokat és biztonsági tokeneket. Kiberbiztonsági szakértők szerint az ilyen adatok segítségével további támadásokat lehet indítani, vagy hosszú időn át valós felhasználóként lehet viselkedni a feltört szerveren.

Gábor János, NEW technology