Серверне програмне забезпечення Microsoft SharePoint з 18 липня зазнає глобальної атаки. Дані державних установ і тисяч компаній опинилися під загрозою.
Про це пишуть Reuters та The Washington Post.
Microsoft 19 липня опублікувала попередження про «активні атаки» на сервери SharePoint, що використовуються в організаціях. У ньому йдеться, що постраждали лише фізичні сервери, розміщені в організаціях. SharePoint Online у хмарному сервісі Microsoft 365 не постраждав від атак.
Спочатку компанія порадила користувачам або тимчасово змінити налаштування серверів SharePoint, або повністю відключити їх від інтернету. Ввечері 20 липня вона випустила оновлення для однієї з версій програми. Дві інші версії залишаються вразливими, і Microsoft заявила, що продовжує працювати над виправленням.
Нідерландська компанія у сфері кібербезпеки Eye Security зазначила, що маючи доступ до цих серверів, які часто підключаються до електронної пошти Outlook, Teams та інших основних служб, порушення може призвести до крадіжки конфіденційних даних, а також до збору паролів. Дослідники також зазначають, що тривожним є те, що хакери отримали доступ до ключів, які можуть дозволити їм відновити доступ навіть після того, як система буде виправлена. Тож випуск оновлення не допоможе тим, кого скомпрометували протягом останніх 72 годин.
«Виходячи з узгодженості методів, що спостерігаються під час цих атак, кампанію, яка розпочалась у п’ятницю, схоже, організував один учасник. Однак, ситуація, може швидко зміниться», — заявив директор з аналізу загроз у британській фірмі з кібербезпеки Sophos Рейф Піллінг.
Він додав, що методи включали надсилання однакового цифрового файлу кільком цілям.
Незрозуміло, хто стоїть за зломом. ФБР 20 липня заявило, що знає про атаки й співпрацює зі своїми федеральними та приватними партнерами, але не надало жодних інших подробиць.
За даними дослідників, щонайменше два федеральних агентства США зазнали зламу серверів. Чиновник одного з американських штатів заявив, що зловмисники «викрали» сховище документів, які були доступні громадськості та допомагали мешканцям зрозуміти, як працює їхній уряд. Відповідне відомство більше не має доступу до матеріалів, але незрозуміло, чи були вони видалені.
За даними Shodan, теоретично хакери вже могли скомпрометувати понад 8 000 серверів. Серед них є великі промислові фірми, банки, аудитори, компанії охорони здоровʼя, кілька урядових установ штатів США та міжнародних організацій.