Μια εκτεταμένη επιχείρηση κυβερνοκατασκοπείας που στόχευε λογισμικό διακομιστή της Microsoft έθεσε σε κίνδυνο περίπου 100 οργανισμούς μέχρι το σαββατοκύριακο, δήλωσαν τη Δευτέρα δύο από τους οργανισμούς που βοήθησαν στην αποκάλυψη της εκστρατείας.
Η Microsoft εξέδωσε το Σάββατο μια ειδοποίηση σχετικά με «ενεργές επιθέσεις» σε αυτο-φιλοξενούμενους διακομιστές SharePoint, οι οποίοι χρησιμοποιούνται ευρέως από οργανισμούς για την κοινή χρήση εγγράφων και τη συνεργασία εντός οργανισμών. Τα στιγμιότυπα SharePoint που εκτελούνται από διακομιστές της Microsoft δεν επηρεάστηκαν.
Ονομαζόμενες «zero-day» επειδή αξιοποιούν μια προηγουμένως άγνωστη ψηφιακή αδυναμία, οι παραβιάσεις επιτρέπουν στους κατασκόπους να διεισδύουν σε ευάλωτους διακομιστές και ενδεχομένως να ανοίγουν μια κερκόπορτα για να εξασφαλίσουν συνεχή πρόσβαση στους οργανισμούς-θύματα.
Η Βαΐσα Μπερνάρντ, επικεφαλής στην Eye Security, μια εταιρεία κυβερνοασφάλειας με έδρα την Ολλανδία, η οποία ανακάλυψε την κυβερνοεπίθεση που στόχευε έναν από τους πελάτες της την Παρασκευή, δήλωσε ότι μια σάρωση στο διαδίκτυο που πραγματοποιήθηκε με το Ίδρυμα Shadowserver αποκάλυψε σχεδόν 100 θύματα συνολικά – και αυτό πριν γίνει ευρέως γνωστή η τεχνική πίσω από την παραβίαση.
«Είναι σαφές», είπε η Μπερνάρντ. «Ποιος ξέρει τι έχουν κάνει άλλοι αντίπαλοι έκτοτε για να τοποθετήσουν άλλες κερκόπορτες.»
Αρνήθηκε να κατονομάσει τους οργανισμούς που επηρεάστηκαν, λέγοντας ότι οι αρμόδιες εθνικές αρχές είχαν ειδοποιηθεί.
Το Ίδρυμα Shadowserver επιβεβαίωσε τον αριθμό εκατό. Ανέφερε ότι οι περισσότεροι οργανισμούς βρίσκονταν στις Ηνωμένες Πολιτείες και τη Γερμανία, και τα θύματα περιελάμβαναν κυβερνητικούς οργανισμούς.
Ένας άλλος ερευνητής είπε ότι, μέχρι στιγμής, η κατασκοπεία φαίνεται να είναι έργο ενός μόνο χάκερ ή μίας ομάδας χάκερ.
«Είναι πιθανό αυτό να αλλάξει γρήγορα», δήλωσε ο Ράφε Πίλλινγκ, διευθυντής πληροφοριών απειλών στη Sophos, μια βρετανική εταιρεία κυβερνοασφάλειας.
Η Microsoft δήλωσε ότι «παρέχει ενημερώσεις ασφαλείας και ενθαρρύνει τους πελάτες να τις εγκαταστήσουν», δήλωσε ένας εκπρόσωπος της εταιρείας σε δήλωση μέσω email.
Δεν ήταν σαφές ποιος βρισκόταν πίσω από τη συνεχιζόμενη παραβίαση, αλλά η Google της Alphabet, η οποία έχει ορατότητα σε μεγάλα τμήματα της διαδικτυακής κίνησης, δήλωσε ότι συνέδεσε τουλάχιστον μερικές από τις παραβιάσεις με έναν «κινεζικό παράγοντα απειλής».
Η κινεζική πρεσβεία στην Ουάσιγκτον δεν απάντησε αμέσως σε μήνυμα που ζητούσε σχόλια. Το Πεκίνο αρνείται συστηματικά ότι πραγματοποίησε επιχειρήσεις παραβίασης.
Το FBI δήλωσε την Κυριακή ότι γνώριζε τις επιθέσεις και συνεργαζόταν στενά με τους ομοσπονδιακούς και ιδιωτικούς εταίρους του, αλλά δεν έδωσε άλλες λεπτομέρειες. Το Εθνικό Κέντρο Κυβερνοασφάλειας της Βρετανίας δήλωσε ότι γνώριζε «έναν περιορισμένο αριθμό» στόχων στο Ηνωμένο Βασίλειο. Ένας ερευνητής που παρακολούθησε την εκστρατεία δήλωσε ότι η εκστρατεία φαινόταν αρχικά να στοχεύει ένα στενό σύνολο κυβερνητικών οργανισμών.
Το σύνολο των πιθανών στόχων παραμένει τεράστιο. Σύμφωνα με δεδομένα από τη Shodan, μηχανή αναζήτησης που βοηθά στην αναγνώριση εξοπλισμού που συνδέεται με το διαδίκτυο, πάνω από 8.000 διαδικτυακοί διακομιστές θα μπορούσαν θεωρητικά να έχουν ήδη παραβιαστεί από χάκερ. Η Shadowserver υπολόγισε τον αριθμό σε λίγο περισσότερους από 9.000, προειδοποιώντας παράλληλα ότι ο αριθμός ήταν ο ελάχιστος.
Σε αυτούς τους διακομιστές περιλαμβάνονται μεγάλες βιομηχανικές εταιρείες, τράπεζες, ελεγκτές, εταιρείες υγειονομικής περίθαλψης και αρκετές πολιτειακές και διεθνείς κυβερνητικές οντότητες των ΗΠΑ.
«Το περιστατικό του SharePoint φαίνεται να έχει δημιουργήσει ένα ευρύ φάσμα παραβίασης σε μια σειρά διακομιστών παγκοσμίως», δήλωσε ο Ντάνιελ Καρντ της βρετανικής εταιρείας συμβούλων κυβερνοασφάλειας PwnDefend.
«Η υιοθέτηση μιας υποτιθέμενης προσέγγισης παραβίασης είναι σοφή και είναι επίσης σημαντικό να κατανοήσουμε ότι η απλή εφαρμογή της ενημέρωσης κώδικα δεν είναι το μόνο που απαιτείται εδώ.»
Από τους James Pearson και Raphael Satter
