Znaczący incydent cyberbezpieczeństwa niedawno dotknął wiele globalnych podmiotów, w tym amerykańską Narodową Administrację Bezpieczeństwa Jądrowego (NNSA), wynikający z krytycznej luki w platformie Microsoft SharePoint. Chociaż w NNSA nie doszło do kompromitacji danych niejawnych, naruszenie to zostało przypisane wyrafinowanym grupom sponsorowanym przez państwa, co podkreśla uporczywe wyzwania w ochronie infrastruktury cyfrowej przed ewoluującymi zagrożeniami ze strony państw narodowych.
- Incydent dotyczył krytycznej luki zero-day w platformie Microsoft SharePoint.
- Wśród globalnie dotkniętych podmiotów znalazła się Narodowa Administracja Bezpieczeństwa Jądrowego (NNSA) w USA, choć bez kompromitacji danych niejawnych.
- Atak, który rozpoczął się około 18 lipca, wymierzony był w instytucje rządowe i firmy w Europie, na Bliskim Wschodzie oraz w USA.
- Microsoft zidentyfikował trzy grupy hakerskie – Violet Typhoon, Linen Typhoon i Storm-2603 – powiązane z Chinami, jako odpowiedzialne za wykorzystanie luki.
- Incydent ten uwypukla powtarzający się wzorzec cyberataków sponsorowanych przez państwa, wymierzonych w ekosystem Microsoftu.
Narodowa Administracja Bezpieczeństwa Jądrowego, odpowiedzialna za projektowanie i utrzymanie amerykańskiego arsenału broni jądrowej, potwierdziła, że jej systemy były wśród tych dotkniętych. Wewnętrzne źródło wskazało, że z NNSA nie wyeksfiltrowano żadnych danych niejawnych ani wrażliwych. Departament Energii (DOE), nadzorujący NNSA, oświadczył, że doświadczył minimalnego wpływu dzięki szerokiemu wykorzystaniu usług chmurowych Microsoft M365 i solidnym systemom cyberbezpieczeństwa, przy czym dotknięto tylko niewielką liczbę systemów, które zostały następnie przywrócone. Incydent ten stanowi kolejny przypadek, w którym agencja została zaatakowana za pośrednictwem oprogramowania zewnętrznego, po ataku z 2020 roku za pośrednictwem oprogramowania do zarządzania siecią firmy SolarWinds Corp.
Rozszerzony Zasięg i Podatność Techniczna
Naruszenie, które rozpoczęło się około 18 lipca, wykorzystało lukę zero-day w SharePoint, wpływając na rządy i firmy na Bliskim Wschodzie, w Europie i kilku agencjach amerykańskich, w tym w Departamencie Edukacji, Zgromadzeniu Ogólnym Rhode Island oraz Departamencie Dochodów Florydy. Według wcześniejszego raportu Bloomberg, atakujący rzekomo skradli wrażliwe informacje logowania, takie jak nazwy użytkownika, hasła, tokeny i kody hash. Błędy w oprogramowaniu szczególnie zagrażały organizacjom uruchamiającym SharePoint lokalnie, a nie za pośrednictwem usługi chmurowej Microsoftu, pozostawiając instalacje lokalne szczególnie podatnymi. W odpowiedzi Microsoft niezwłocznie wydał wiele poprawek dla lokalnych wersji SharePoint.
Atrybucja i Powtarzające się Wyzwania Cyberbezpieczeństwa
Microsoft publicznie zidentyfikował dwie grupy hakerskie, Violet Typhoon i Linen Typhoon, wraz z trzecią grupą, Storm-2603, wszystkie powiązane z Chinami, jako odpowiedzialne za wykorzystanie luk w zabezpieczeniach. Ocenę tę potwierdziła Mandiant, firma zajmująca się cyberbezpieczeństwem należąca do Google, której Dyrektor Techniczny, Charles Carmakal, ocenił co najmniej jednego z aktorów jako „aktora zagrożenia powiązanego z Chinami”. Amerykańska Agencja Cyberbezpieczeństwa i Bezpieczeństwa Infrastruktury (CISA) również potwierdziła aktywne wykorzystanie luki w SharePoint. Sama luka została początkowo odkryta w maju podczas konkursu hakerskiego w Berlinie zorganizowanego przez Trend Micro, który oferował znaczącą nagrodę za luki zero-day wymierzone w SharePoint.
Incydent ten podkreśla powtarzający się wzorzec cyberataków sponsorowanych przez państwa, wymierzonych w ekosystem Microsoftu. W zeszłym roku dyrektor generalny Microsoftu, Satya Nadella, nadał priorytet cyberbezpieczeństwu po raporcie rządowym krytykującym sposób, w jaki firma poradziła sobie z chińskim naruszeniem kont e-mail urzędników. Ponadto Microsoft wcześniej informował klientów, że zmniejszy zależność od chińskich inżynierów w zakresie usług chmurowych świadczonych Pentagonowi, w związku z obawami o potencjalne luki w zabezpieczeniach. W 2021 roku inna grupa powiązana z Chinami, Hafnium, wykorzystała odrębną lukę w oprogramowaniu Microsoft Exchange Server do infiltracji sieci na całym świecie. Ambasada Chin w Waszyngtonie konsekwentnie zaprzeczała udziałowi, twierdząc, że Pekin sprzeciwia się „wszelkim formom cyberataków” i ostrzega przed „szkalowaniem innych bez solidnych dowodów”.
Trwające ataki na krytyczną infrastrukturę krajową i powszechnie używane platformy oprogramowania korporacyjnego przez wyrafinowanych aktorów sponsorowanych przez państwa stanowią znaczące i ewoluujące wyzwanie dla obrony cyberbezpieczeństwa. Najnowsze naruszenie SharePoint podkreśla konieczność ciągłej czujności, szybkiego łatania luk i solidnych, wielowarstwowych strategii bezpieczeństwa zarówno w sektorze publicznym, jak i prywatnym.
newsblog.pl
Maciej – redaktor, pasjonat technologii i samozwańczy pogromca błędów w systemie Windows. Zna Linuxa lepiej niż własną lodówkę, a kawa to jego główne źródło zasilania. Pisze, testuje, naprawia – i czasem nawet wyłącza i włącza ponownie. W wolnych chwilach udaje, że odpoczywa, ale i tak kończy z laptopem na kolanach.