Microsoft: Μαζική κυβερνοεπίθεση απειλεί 100 οργανισμούς με παραβίαση SharePoint
Μια εκτεταμένη και πολύπλοκη επιχείρηση κυβερνοκατασκοπείας, που στοχεύει σε λογισμικό διακομιστή της Microsoft, έχει θέσει σε κίνδυνο περίπου 100 οργανισμούς μέχρι το περασμένο σαββατοκύριακο, όπως ανακοίνωσαν τη Δευτέρα δύο οργανισμοί που συνέβαλαν στην αποκάλυψη της εκστρατείας. Η Microsoft προειδοποίησε το Σάββατο για «ενεργές επιθέσεις» εναντίον αυτο-φιλοξενούμενων διακομιστών SharePoint, πλατφόρμας που χρησιμοποιείται ευρέως για την κοινή χρήση εγγράφων και τη συνεργασία εντός οργανισμών. Παράλληλα, οι εκδόσεις SharePoint που φιλοξενούνται απευθείας από τη Microsoft δεν έχουν επηρεαστεί.
Οι επιθέσεις χαρακτηρίζονται ως «zero-day», δηλαδή αξιοποιούν μια προηγουμένως άγνωστη ευπάθεια, δίνοντας τη δυνατότητα στους επιτιθέμενους να διεισδύουν σε ευάλωτους διακομιστές και να εγκαθιστούν κερκόπορτες, διασφαλίζοντας συνεχή πρόσβαση στους οργανισμούς-στόχους. Η Βαΐσα Μπερνάρντ, επικεφαλής της εταιρείας κυβερνοασφάλειας Eye Security στην Ολλανδία, που εντόπισε την επίθεση σε πελάτη της την Παρασκευή, τόνισε πως μια διαδικτυακή σάρωση που πραγματοποιήθηκε σε συνεργασία με το Ίδρυμα Shadowserver αποκάλυψε σχεδόν 100 θύματα, πριν καν η μέθοδος της επίθεσης γίνει ευρέως γνωστή. Η ίδια προειδοποίησε πως είναι αβέβαιο πόσες επιπλέον κερκόπορτες μπορεί να έχουν τοποθετηθεί από άλλους κακόβουλους παράγοντες έκτοτε.
Το Ίδρυμα Shadowserver επιβεβαίωσε τον αριθμό των περίπου 100 οργανισμών, με τις περισσότερες επιθέσεις να εντοπίζονται στις Ηνωμένες Πολιτείες και τη Γερμανία, περιλαμβάνοντας κυβερνητικές υπηρεσίες. Ένας ακόμη ειδικός σε θέματα κυβερνοασφάλειας επισήμανε πως η επίθεση φαίνεται να έχει πραγματοποιηθεί από έναν μόνο χάκερ ή ομάδα, αλλά προειδοποίησε πως η κατάσταση μπορεί να εξελιχθεί γρήγορα. Από την πλευρά της, η Microsoft διαβεβαίωσε ότι έχει εκδώσει ενημερώσεις ασφαλείας και καλεί τους χρήστες να τις εγκαταστήσουν άμεσα.
Δεν έχει διευκρινιστεί ποιος βρίσκεται πίσω από την επίθεση, ωστόσο η Google της Alphabet, που παρακολουθεί μεγάλο μέρος της διαδικτυακής κίνησης, συνέδεσε μερικές από τις παραβιάσεις με έναν «κινεζικό παράγοντα απειλής». Η κινεζική πρεσβεία στην Ουάσινγκτον δεν ανταποκρίθηκε σε αιτήματα για σχόλια, ενώ το Πεκίνο αρνείται συστηματικά οποιαδήποτε ανάμειξη σε τέτοιες ενέργειες. Το FBI δήλωσε ότι γνωρίζει για τις επιθέσεις και συνεργάζεται με ομοσπονδιακούς και ιδιωτικούς φορείς, χωρίς όμως να δώσει περισσότερες λεπτομέρειες. Το βρετανικό Εθνικό Κέντρο Κυβερνοασφάλειας ανέφερε πως γνωρίζει «έναν περιορισμένο αριθμό» στόχων στο Ηνωμένο Βασίλειο, ενώ αναλυτές παρατήρησαν πως η επίθεση αρχικά εστίαζε σε κυβερνητικούς οργανισμούς.
Ο συνολικός αριθμός πιθανών στόχων είναι πολύ μεγαλύτερος. Βάσει στοιχείων από τη Shodan, μηχανή αναζήτησης εξοπλισμού στο διαδίκτυο, περισσότεροι από 8.000 διακομιστές ενδέχεται να είναι ευάλωτοι, με την Shadowserver να εκτιμά τον αριθμό σε πάνω από 9.000 και να προειδοποιεί πως πρόκειται για τον ελάχιστο υπολογισμό. Μεταξύ αυτών περιλαμβάνονται μεγάλες βιομηχανίες, τράπεζες, εταιρείες υγειονομικής περίθαλψης, ελεγκτικές εταιρείες, καθώς και κρατικοί και διεθνείς οργανισμοί.
Ο Ντάνιελ Καρντ, από την εταιρεία κυβερνοασφάλειας PwnDefend, υπογράμμισε πως το περιστατικό αφορά παραβιάσεις σε παγκόσμια κλίμακα σε πολλούς διακομιστές. Τόνισε ότι η απλή εγκατάσταση ενημερώσεων δεν αρκεί από μόνη της και η αντιμετώπιση απαιτεί πιο ολοκληρωμένες και στοχευμένες δράσεις. Η μαζική αυτή κυβερνοεπίθεση αναδεικνύει την ανάγκη για αυξημένη ετοιμότητα και συνεργασία μεταξύ κρατών και ιδιωτικού τομέα, ώστε να περιοριστούν οι επιπτώσεις και να ενισχυθεί η ψηφιακή ασφάλεια διεθνώς.
