Χάκερς εκμεταλλεύτηκαν σοβαρό κενό ασφαλείας σε ευρέως χρησιμοποιούμενο λογισμικό διακομιστών της Microsoft για να εξαπολύσουν παγκόσμια επίθεση κατά κυβερνητικών υπηρεσιών και επιχειρήσεων, παραβιάζοντας ομοσπονδιακούς και πολιτειακούς φορείς στις ΗΠΑ, πανεπιστήμια, ενεργειακές εταιρείες και μία εταιρεία τηλεπικοινωνιών στην Ασία, σύμφωνα με κρατικούς αξιωματούχους και ιδιωτικούς ερευνητές.
Η κυβέρνηση των ΗΠΑ, σε συνεργασία με Καναδά και Αυστραλία, διεξάγει έρευνα για τη μαζική παραβίαση των διακομιστών SharePoint, μιας πλατφόρμας διαχείρισης και κοινοχρησίας εγγράφων. Ειδικοί εκτιμούν ότι δεκάδες χιλιάδες διακομιστές παραμένουν εκτεθειμένοι, ενώ η Microsoft δεν είχε εκδώσει διορθωτικό κώδικα (patch) για τη συγκεκριμένη ευπάθεια τις πρώτες ημέρες της επίθεσης, αφήνοντας τους οργανισμούς να προσπαθούν να περιορίσουν τη ζημιά.
Η επίθεση χαρακτηρίζεται ως «zero-day», καθώς εκμεταλλεύεται άγνωστο έως πρότινος κενό ασφαλείας — άλλο ένα πλήγμα για τη Microsoft, η οποία είχε δεχτεί έντονη κριτική πέρυσι για την εμπλοκή της σε χακάρισμα από Κινέζους χάκερς που έθεσε σε κίνδυνο ακόμη και κυβερνητικά emails, όπως εκείνα της τότε υπουργού Εμπορίου των ΗΠΑ, Τζίνα Ραϊμόντο.
Η νέα παραβίαση επηρεάζει μόνο διακομιστές που φιλοξενούνται εντός οργανισμών — όχι cloud υπηρεσίες όπως το Microsoft 365. Αρχικά, η Microsoft σύστησε στους χρήστες είτε να αποσυνδέσουν τους διακομιστές SharePoint από το διαδίκτυο είτε να προβούν σε τροποποιήσεις. Την Κυριακή, εξέδωσε patch για μία μόνο έκδοση του λογισμικού, ενώ δύο άλλες εκδόσεις παραμένουν ευάλωτες.
«Όποιος χρησιμοποιεί το SharePoint σε hosted μορφή, έχει πρόβλημα», δήλωσε ο Άνταμ Μέγιερς, αντιπρόεδρος της CrowdStrike. «Πρόκειται για μια σοβαρή ευπάθεια».
Το FBI επιβεβαίωσε ότι έχει γνώση του περιστατικού και συνεργάζεται με κυβερνητικούς και ιδιωτικούς φορείς. Σύμφωνα με τον Πιτ Ρέναλς από την Palo Alto Networks, «καταγράφονται προσπάθειες εκμετάλλευσης χιλιάδων SharePoint διακομιστών παγκοσμίως, πριν καν κυκλοφορήσει κάποιο patch». Μέχρι στιγμής, έχουν εντοπιστεί δεκάδες παραβιάσεις, τόσο στον δημόσιο όσο και στον ιδιωτικό τομέα.
Οι ερευνητές της Eye Security σημειώνουν ότι οι χάκερς απέκτησαν πρόσβαση σε κρυπτογραφικά κλειδιά, κάτι που ενδέχεται να τους επιτρέψει να επαναπροσπελάσουν τα συστήματα ακόμη και μετά την εφαρμογή ενός patch — γεγονός που καθιστά άμεση την ανάγκη για εσωτερικό έλεγχο και εκ νέου διασφάλιση.
Η ταυτότητα των δραστών παραμένει άγνωστη. Εταιρεία κυβερνοασφάλειας ανακάλυψε επιθέσεις σε διακομιστές στην Κίνα και σε νομοθετικό σώμα ανατολικής πολιτείας των ΗΠΑ. Άλλες παραβιάσεις έχουν καταγραφεί σε ενεργειακή εταιρεία μεγάλης πολιτείας των ΗΠΑ, ευρωπαϊκές κυβερνητικές υπηρεσίες, καθώς και σε πανεπιστήμιο της Βραζιλίας και κρατικό φορέα στην Ισπανία.
Σε τουλάχιστον δύο ομοσπονδιακές υπηρεσίες των ΗΠΑ έχουν σημειωθεί παραβιάσεις, σύμφωνα με ερευνητές, οι οποίοι επικαλούνται συμφωνίες εμπιστευτικότητας για να μην κατονομάσουν τα θύματα. Ένας αξιωματούχος ανατολικής πολιτείας είπε ότι οι χάκερς «κατέλαβαν» αποθετήριο δημόσιων εγγράφων, κρίσιμων για τη διαφάνεια. Η πρόσβαση στα αρχεία χάθηκε και δεν είναι σαφές αν διαγράφηκαν.
Οι λεγόμενες «επιθέσεις διαγραφής» είναι σπάνιες, γεγονός που έχει προκαλέσει ανησυχία και σε άλλες πολιτείες. Κάποιοι φορείς αναφέρουν ότι δεν έχουν εντοπίσει διαγραφές, αλλά μόνο υποκλοπή κλειδιών, ενδεικτικό ότι στόχος ήταν η παρακολούθηση και όχι η καταστροφή.
Στην Αριζόνα, αξιωματούχοι κυβερνοασφάλειας συγκλήθηκαν με τοπικούς και φυλετικούς εκπροσώπους για την εκτίμηση κινδύνων και την ανταλλαγή πληροφοριών. «Υπάρχει πραγματικός πανικός αυτή τη στιγμή σε όλη τη χώρα», δήλωσε πρόσωπο που συμμετέχει στην αντιμετώπιση.
Οι παραβιάσεις ξεκίνησαν αφότου η Microsoft διόρθωσε ένα άλλο κενό ασφαλείας νωρίτερα αυτόν τον μήνα. Οι επιτιθέμενοι διαπίστωσαν πως μια παραπλήσια ευπάθεια παρέμενε ανοιχτή, σύμφωνα με την Ομοσπονδιακή Υπηρεσία Κυβερνοασφάλειας και Προστασίας Υποδομών (CISA), η οποία ειδοποίησε άμεσα τη Microsoft.
Η εταιρεία έχει δεχθεί επανειλημμένα επικρίσεις για διορθώσεις που δεν καλύπτουν επαρκώς όλες τις παραμέτρους, επιτρέποντας νέες επιθέσεις από παρόμοιες οδούς. Την Παρασκευή, ανακοίνωσε ότι θα πάψει να χρησιμοποιεί μηχανικούς από την Κίνα για υποστήριξη σε cloud προγράμματα του Υπουργείου Άμυνας, μετά από αποκαλύψεις για ενδεχόμενη διαρροή ευαίσθητων δεδομένων.
Η ΜΚΟ Center for Internet Security προειδοποίησε πάνω από 100 οργανισμούς — από δημόσια σχολεία έως πανεπιστήμια — ότι είναι ευάλωτοι. Η διαδικασία ειδοποίησης διήρκεσε έξι ώρες λόγω περικοπών 65% στις ομάδες ανταπόκρισης της CISA, όπως δήλωσε ο αντιπρόεδρος Ράντι Ρόουζ.
Παρά την απουσία μόνιμου διευθυντή στη CISA, η υπηρεσία εργάζεται εντατικά, δήλωσε η εκπρόσωπος Μάρσι ΜακΚάρθι. «Κανείς δεν έχει μείνει αδρανής».
