ЛОНДОН/ГААГА – Масштабная операция по кибершпионажу, нацеленная на серверное программное обеспечение Microsoft, по состоянию на выходные скомпрометировала около 100 различных организаций. Об этом в понедельник сообщили две организации, которые помогли раскрыть эту кампанию.
“Нулевой день” и глобальные жертвы
В субботу Microsoft опубликовала предупреждение об «активных атаках» на автономные серверы SharePoint, которые широко используются организациями для обмена документами и совместной работы. Экземпляры SharePoint, запущенные с серверов Microsoft, не пострадали.
Названный “нулевым днём», поскольку он использует ранее нераскрытую цифровую уязвимость, этот взлом позволяет шпионам проникать на уязвимые серверы и потенциально использовать чёрный ход для обеспечения непрерывного доступа к организациям-жертвам.
Вайша Бернард, главный хакер Eye Security, нидерландской компании по кибербезопасности, которая в пятницу обнаружила хакерскую кампанию, направленную против одного из её клиентов, сообщила, что сканирование Интернета, проведённое совместно с Shadowserver Foundation, выявило в общей сложности около 100 жертв — и это было до того, как технология, лежащая в основе взлома, стала широко известна.
«Это однозначно», — сказал Бернард. «Кто знает, что с тех пор сделали другие злоумышленники, чтобы внедрить другие бэкдоры».
Он отказался назвать пострадавшие организации, заявив, что соответствующие национальные органы были уведомлены.
Фонд Shadowserver подтвердил цифру в 100 человек и сообщил, что большинство пострадавших находились в Соединённых Штатах и Германии и что среди жертв были правительственные организации.
Потенциальные угрозы и рекомендации
Другой исследователь сказал, что до сих пор шпионаж, по-видимому, был делом рук одного хакера или группы хакеров. «Возможно, ситуация быстро изменится», — сказал Рейф Пиллинг, директор по анализу угроз в Sophos, британской фирме по кибербезопасности.
Microsoft заявила, что «предоставила обновления для системы безопасности и рекомендует клиентам устанавливать их», — говорится в заявлении представителя компании, отправленном по электронной почте.
Было неясно, кто стоит за продолжающимся взломом. В воскресенье ФБР заявило, что оно осведомлено об атаках и тесно сотрудничает со своими партнёрами из федерального и частного секторов, но не предоставило никаких других подробностей. Национальный центр кибербезопасности Великобритании заявил в своём заявлении, что ему известно об «ограниченном числе» целей в Соединённом Королевстве. Исследователь, отслеживавший кампанию, сказал, что изначально кампания была нацелена на узкий круг организаций, связанных с правительством.
Список потенциальных целей остаётся обширным. Согласно данным Shodan, поисковой системы, которая помогает идентифицировать оборудование, подключённое к Интернету, более 8000 серверов в сети теоретически уже могли быть взломаны хакерами. Эти серверы включают крупные промышленные фирмы, банки, аудиторские компании, медицинские компании и несколько государственных учреждений США и международных организаций.
«Инцидент с SharePoint, по-видимому, привёл к широкому уровню компрометации целого ряда серверов по всему миру», — сказал Дэниел Кард из британской консалтинговой компании по кибербезопасности PwnDefend. «Разумно использовать подход, основанный на предположении о нарушении, и также важно понимать, что простое применение исправления — это ещё не всё, что здесь требуется».
Как вы считаете, какие шаги организациям необходимо предпринять, помимо установки обновлений, для защиты от подобных “нулевых дней” и целенаправленных атак?
