Масштабная операция по кибершпионажу, нацеленная на серверное программное обеспечение Microsoft, по состоянию на выходные скомпрометировала около 100 различных организаций, сообщил в понедельник один из исследователей, который помог раскрыть эту кампанию.
Корпорация Microsoft в субботу опубликовала предупреждение об “активных атаках” на автономные серверы SharePoint, которые широко используются правительственными учреждениями и предприятиями для обмена документами внутри организаций.
Названный “нулевым днем”, поскольку он использует ранее нераскрытые цифровые уязвимости, этот взлом позволяет шпионам проникать на уязвимые серверы и потенциально открывает черный ход для обеспечения постоянного доступа к организациям-жертвам.
Вайша Бернард, главный хакер Eye Security, нидерландской компании по кибербезопасности, которая в пятницу обнаружила хакерскую кампанию, направленную против одного из ее клиентов, сообщила, что сканирование Интернета, проведенное совместно с ShadowServer Foundation, выявило в общей сложности около 100 жертв – и это было до того, как технология, лежащая в основе взлома, стала широко известна.
“Это однозначно”, – сказал Бернард. “Кто знает, что с тех пор предприняли другие противники, чтобы создать другие лазейки”.
Он отказался назвать пострадавшие организации, заявив, что соответствующие национальные органы были уведомлены. Фонд ShadowServer не сразу ответил на запрос о комментариях.
Другой исследователь сказал, что до сих пор шпионаж, по-видимому, был делом рук одного хакера или группы хакеров.
“Возможно, ситуация быстро изменится”, – сказал Рейф Пиллинг, директор по анализу угроз в Sophos, британской фирме по кибербезопасности.
Microsoft заявила, что “предоставила обновления для системы безопасности и рекомендует клиентам устанавливать их”, – говорится в заявлении представителя компании, отправленном по электронной почте. Пока неясно, кто стоит за продолжающимся взломом.
В воскресенье ФБР заявило, что ему известно об атаках и что оно тесно сотрудничает со своими федеральными партнерами и партнерами из частного сектора, но не предоставило никаких других подробностей. Британский национальный центр кибербезопасности сообщил в своем заявлении, что ему известно об “ограниченном числе” целей в Соединенном Королевстве.
Согласно данным Shodan, поисковой системы, которая помогает идентифицировать оборудование, подключенное к Интернету, более 8000 серверов в сети теоретически уже могли быть взломаны хакерами.
Эти серверы включают крупные промышленные фирмы, банки, аудиторские компании, медицинские компании и несколько государственных учреждений США и международных организаций.
“Инцидент с SharePoint, по-видимому, привел к широкому уровню компрометации целого ряда серверов по всему миру”, – сказал Дэниел Кард из британской консалтинговой компании по кибербезопасности PwnDefend.
“Разумно использовать подход, основанный на предположении о нарушении, и также важно понимать, что простое применение исправления – это еще не все, что здесь требуется”.