Масштабная кампания кибершпионажа, направленная на серверное программное обеспечение Microsoft, скомпрометировала около 100 организаций среди которых и правительственные учреждения. Об этом сообщает Reuters.
Microsoft обнародовала предупреждение об “активных атаках” на самостоятельно размещенные серверы SharePoint – популярный инструмент для внутреннего обмена документами и совместной работы в компаниях. Серверы SharePoint, которые работают на инфраструктуре Microsoft, не пострадали.
Эту атаку называют “нулевым днем” (zero-day), поскольку она использует ранее неизвестную уязвимость. Это позволяет злоумышленникам проникать на уязвимые серверы и устанавливать бэкдор – тайный доступ, который позволяет оставаться в системе надолго.
Вайша Бернард, главный специалист по кибербезопасности компании Eye Security из Нидерландов, рассказал, что с помощью интернет-сканирования было выявлено почти 100 жертв. И это еще до того, как метод атаки стал общеизвестным. “Все однозначно, – говорит Бернард, – Кто знает, что еще успели сделать другие злоумышленники после этого, чтобы установить свои бэкдоры”.
Фонд Shadowserver подтвердил цифру – около 100 пораженных систем. Большинство пострадавших находятся в США и Германии. Среди них – правительственные учреждения.
Другой исследователь заявил, что пока атака выглядит как работа одного хакера или небольшой группы. “Это может быстро измениться”, – предупредил Рейф Пиллинг, директор по анализу киберугроз в британской компании Sophos.
Microsoft в заявлении сообщила, что уже выпустила обновление безопасности и призывает всех пользователей установить его.
Кто стоит за атакой до сих пор неизвестно. Однако компания Google (входит в Alphabet), которая имеет доступ к большому объему интернет-трафика, связывает по крайней мере часть атак с хакерской группировкой, связанной с Китаем.
По данным поисковика Shodan, который обнаруживает устройства, подключенные к интернету, более 8 000 серверов могли быть уязвимыми. В Shadowserver насчитали чуть более 9 000, но предупреждают, что это минимальная оценка.
Среди потенциально пораженных – крупные промышленные компании, банки, аудиторские фирмы, медицинские организации, а также ряд правительственных структур США и других стран.
“Инцидент с SharePoint указывает на широкий уровень компрометации серверов во всем мире, – сказал Даниэль Кард из британской компании PwnDefend. – К ситуации следует подходить так, будто взлом уже произошел. И просто установить обновление недостаточно”. (ukrrudprom.ua)