Aa Aa Aa

Хакерський злом Microsoft торкнувся глобальної мережі та державних установ США

Дмитро Сизов

За даними чиновників та приватних дослідників, хакери використали серйозну вразливість до безпеки широко використовуваного серверного програмного забезпечення Microsoft, щоб розпочати глобальну атаку на урядові установи та підприємства протягом останніх кількох днів, порушивши роботу федеральних та державних установ США, університетів, енергетичних компаній та азійської телекомунікаційної компанії.

Уряд США та його партнери в Канаді та Австралії розслідують компрометацію серверів SharePoint, які надають платформу для обміну документами та керування ними. Десятки тисяч таких серверів перебувають під загрозою, кажуть експерти, і Microsoft не випустила жодного виправлення для цієї вразливості, що змушує жертв у всьому світі намагатися реагувати.

Атака «нульового дня», названа так тому, що вона була спрямована на раніше невідому вразливість, є лише черговим конфузом для Microsoft у сфері кібербезпеки. Минулого року група експертів уряду США та галузі звинуватила компанію у прорахунках, які дозволили у 2023 році цілеспрямовано зламати електронні листи уряду США , зокрема електронні листи тодішнього міністра торгівлі Джини Раймондо.

Ця остання атака ставить під загрозу лише ті сервери, що розміщені в організації, а не ті, що знаходяться в хмарі, такі як Microsoft 365, повідомили чиновники. Спочатку компанія запропонувала користувачам внести зміни або просто відключити програми сервера SharePoint від Інтернету, але в неділю ввечері випустила патч для однієї версії програмного забезпечення. Дві інші версії залишаються вразливими, і Microsoft заявила, що продовжує роботу над розробкою патчу. Компанія відмовилася від подальших коментарів.

«У кожного, хто має розміщений сервер SharePoint, є проблема», — сказав Адам Мейєрс, старший віце-президент CrowdStrike, фірми з кібербезпеки. «Це значна вразливість».

ФБР заявило, що знає про цю справу. «Ми тісно співпрацюємо з нашим федеральним урядом та партнерами з приватного сектору», – йдеться у повідомленні.

«Ми спостерігаємо спроби зловмисного використання тисяч серверів SharePoint по всьому світу ще до того, як буде доступне виправлення», — сказав Піт Реналс, старший менеджер підрозділу 42 Palo Alto Networks. «Ми виявили десятки скомпрометованих організацій, що охоплюють як комерційний, так і державний сектори».

Нідерландська дослідницька компанія Eye Security зазначила, що маючи доступ до цих серверів, які часто підключаються до електронної пошти Outlook, Teams та інших основних служб, порушення може призвести до крадіжки конфіденційних даних, а також до збору паролів. Дослідники також зазначають, що тривожним є те, що хакери отримали доступ до ключів, які можуть дозволити їм відновити доступ навіть після того, як система буде виправлена.

«Тож випуск патчу в понеділок чи вівторок не допоможе нікому, хто був скомпрометований протягом останніх 72 годин», – сказав один дослідник, який побажав залишитися анонімним, оскільки триває федеральне розслідування.

Не було одразу зрозуміло, хто стоїть за зламом глобального охоплення або яка його кінцева мета. Одна приватна дослідницька компанія виявила, що хакери націлилися на сервери в Китаї, а також на законодавчий орган штату на сході Сполучених Штатів. Eye Security заявила, що відстежила понад 50 порушень, зокрема в енергетичній компанії у великому штаті та кількох європейських урядових установах.

За даними дослідників, щонайменше два федеральні агентства США зазнали зламу серверів, які заявили, що угоди про конфіденційність жертв не дозволяють їм називати цільові групи.

Один чиновник штату на сході США заявив, що зловмисники «викрали» сховище документів, наданих громадськості, щоб допомогти мешканцям зрозуміти, як працює їхній уряд. Відповідне відомство більше не має доступу до матеріалів, але незрозуміло, чи були вони видалені.

«Нам потрібно буде знову зробити ці документи доступними в іншому сховищі», – сказав чиновник, який побажав залишитися анонімним, щоб обговорити ситуацію, що розвивається.

Такі атаки типу «стирання» трапляються рідко, і ця викликала занепокоєння у чиновників інших штатів, оскільки інформація про неї поширилася. Деякі компанії з безпеки заявили, що не бачили видалення даних під час атак на SharePoint, а лише крадіжку криптографічних ключів, які дозволили б хакерам повторно увійти на сервери.

В Аризоні посадовці з питань кібербезпеки зустрічалися з посадовцями штату, місцевих органів влади та племен, щоб оцінити потенційні вразливості та обмінятися інформацією.

«Зараз по всій країні точно шалена метушня», – сказала одна людина, знайома з реакцією штату.

Зловмисники зрозуміли, що можуть використати подібну вразливість, повідомляє Агентство з кібербезпеки та безпеки інфраструктури Міністерства внутрішньої безпеки США, після того, як Microsoft виправила недоліки системи безпеки цього місяця.

Речниця CISA Марсі Маккарті повідомила, що агентство отримало сповіщення про проблему в п'ятницю від фірми з кібердосліджень і негайно зв'язалося з Microsoft.

У минулому Microsoft звинувачували у випуску виправлень, які були занадто вузько розроблені та залишали подібні можливості для атак. Компанія, один з найбільших постачальників технологій урядам, за останні два роки зіткнулася з іншими серйозними проблемами, зокрема з порушеннями власних корпоративних мереж та електронної пошти керівників. Програмна помилка в її хмарних сервісах також дозволила хакерам, яких підтримує Китай, красти електронну пошту федеральних чиновників.

У п'ятницю Microsoft заявила, що припинить використовувати китайських інженерів для підтримки програм хмарних обчислень Міністерства оборони після того, як звіт розслідувального видання ProPublica розкрив цю практику, що спонукало міністра оборони Піта Хегсета наказати переглянути хмарні угоди Пентагону.

Некомерційна організація «Центр інтернет-безпеки», яка об’єднує групу обміну інформацією для державних та місцевих органів влади, повідомила близько 100 організацій про їхню вразливість та потенційну загрозу, повідомив віцепрезидент організації Ренді Роуз. Серед попереджених були державні школи та університети.

Процес тривав шість годин — набагато довше, ніж міг би за інших обставин, оскільки команди з розвідки загроз та реагування на інциденти скоротили на 65 відсотків через скорочення фінансування CISA, сказав Роуз.

Попри те що CISA очолює виконувач обов'язків директора, оскільки кандидатура Шона Планкі не була підтверджена, посадовці агентства «працювали цілодобово» над цим питанням, сказав Маккарті. «Ніхто не спав за кермом».

Серед інших порушень, серед яких були урядова установа в Іспанії, місцева установа в Альбукерке та університет у Бразилії, повідомили дослідники з безпеки.