Международная сеть хакеров воспользовалась серьёзной уязвимостью в программном обеспечении Microsoft, в частности в корпоративной системе SharePoint. Атаки затронули государственные учреждения, компании и университеты по всему миру.
Как сообщает Bloomberg, целью хакеров был несанкционированный доступ к конфиденциальным данным, внутренним системам и учётным записям пользователей. Среди пострадавших — государственные структуры США, Европы и Ближнего Востока. По данным источников агентства, атаки затронули Министерство образования США, Министерство финансов штата Флорида и Генеральную ассамблею Род-Айленда. Хакеры также предположительно получили доступ к базам данных медицинских учреждений США и атаковали университет в Юго-Восточной Азии.
«Это крайне серьёзная и срочная угроза», — заявил Майкл Сикорски, технический директор по кибербезопасности Unit 42 компании Palo Alto Networks. — «Из-за глубокой интеграции SharePoint с другими сервисами Microsoft, такими как Office, Teams, OneDrive и Outlook, одна уязвимость может открыть доступ ко всей корпоративной сети».
Компания Microsoft подтвердила выпуск первых обновлений безопасности, однако признала, что работа над устранением проблемы продолжается. Представитель компании отказался комментировать ситуацию, сославшись лишь на ранее опубликованное заявление, сообщает The Washington Post.
Простого обновления недостаточно
По данным компании Eye Security, обнаружившей атаку, уязвимость получила название ToolShell. Она позволяла злоумышленникам получать доступ к ключам, обеспечивающим контроль над учётными данными пользователей и сервисов — даже после установки обновлений.
Кроме того, хакеры могли оставлять в системе бэкдоры или модифицированные компоненты, которые сохранялись даже после перезагрузки и обновлений. Это означает, что скомпрометированные системы оставались уязвимыми, несмотря на попытки их защиты.
Отчёты компаний CrowdStrike и Mandiant Consulting подтверждают участие нескольких хакерских группировок. Атакам подверглись серверы в Бразилии, Канаде, Индонезии, Испании, Швейцарии, ЮАР, Великобритании и США. Среди жертв — транснациональные корпорации и государственные учреждения.
По словам Вайши Бернард из Eye Security, атаки не были строго целенаправленными и представляли собой широкомасштабную попытку взломать как можно больше систем. Уже подтверждено не менее 50 серверов, захваченных злоумышленниками.
Пока неизвестно, затронули ли атаки какие-либо организации в Чешской Республике.
Угроза для десятков тысяч компаний
По оценкам экспертов, под угрозой находится более 10 000 организаций. Больше всего уязвимых серверов обнаружено в США, за ними следуют Нидерланды, Великобритания и Канада. Американский Центр интернет-безопасности подтвердил, что более 1100 систем уже скомпрометированы, причём в более чем сотне случаев атаки оказались успешными.
Программа-вымогатели набирают силу
Сайлас Катлер, аналитик компании Censys, предупредил, что обнаруженная уязвимость может стать инструментом для массового распространения программ-вымогателей.
«Это просто подарок для хакеров — огромное количество целей, которые можно шантажировать», — заявил Катлер.
Вымогательские программы блокируют данные на заражённых компьютерах и требуют выкуп, который может достигать сотен тысяч крон. Для компаний такие атаки могут привести к полной остановке работы.
Давнее недоверие к безопасности Microsoft
Инцидент с уязвимостью в SharePoint вновь вызвал вопросы к политике безопасности Microsoft. Ещё в правительственном отчёте США за 2024 год было рекомендовано срочно пересмотреть методы обеспечения кибербезопасности в компании.
В ответ на критику Microsoft привлекла к работе экспертов из государственных структур и ввела регулярные совещания руководства по вопросам повышения безопасности своих продуктов.