Amerykańska agencja nuklearna padła ofiarą włamania. Echa cyberataku na serwery Microsoft SharePoint

O sprawie pisaliśmy wczoraj. Microsoft potwierdził, że grupa hakerska wspierana przez rząd Chin wykorzystała niedawno załatany, ale nadal podatny na ataki fragment oprogramowania SharePoint Server, co pozwoliło na zdalne przejęcie systemów klientów korzystających z wersji lokalnych. Usługi chmurowe nie były zagrożone – nie uchroniło to jednak przed atakiem amerykańskiej agencji National Nuclear Security Administration (NNSA).

Cyberprzestępcy zaczęli aktywnie atakować instytucje korzystające ze wspomnianego oprogramowania już od 7 lipca, jak wynika z analiz firm takich jak Check Point i Sophos. Na początku celem były duże rządy, firmy telekomunikacyjne i technologiczne w Ameryce Północnej i Europie, ale szybko kampania rozszerzyła się na ponad 50-100 organizacji. Microsoft początkowo wydał łatkę 8 lipca, lecz okazała się niewystarczająca: kolejne aktualizacje ukazały się dopiero 20 lipca.

Jak donosi Bloomberg, . Na szczęście do wycieku informacji poufnych nie doszło. Rzecznik Departamentu Energii relacjonował:

Firmy konsultingowe takie jak Palo Alto Networks, CrowdStrike i SentinelOne alarmują jednak, że pomimo podjętych kroków atakujący, dzięki kradzieży kluczy kryptograficznych, mogli utrzymać się w atakowanych systemach nawet po wprowadzeniu łatek. Konieczna jest więc dodatkowa ostrożność.

Po wykryciu kolejnych podatności opracowano poprawki dla kolejnych wersji SharePoint Server, w tym 2019 i Subscription Edition. W niedawnym komunikacie Microsoft potwierdził, że trwa jeszcze praca nad wersją 2016. Eksperci zalecają dodatkowo odcięcie serwerów od internetu, wymianę kluczy kryptograficznych i obligatoryjne przeprowadzenie analiz powdrożeniowych.