Хакеры проникли в серверы Microsoft

Масштабная кампания кибершпионажа, направленная на серверное программное обеспечение Microsoft, скомпрометировала около 100 организаций среди которых и правительственные учреждения. Об этом сообщает Reuters.

В субботу Microsoft обнародовала предупреждение об “активных атаках” на самостоятельно размещенные серверы SharePoint — популярный инструмент для внутреннего обмена документами и совместной работы в компаниях. Серверы SharePoint, которые работают на инфраструктуре Microsoft, не пострадали.

Эту атаку называют “нулевым днем” (zero-day), поскольку она использует ранее неизвестную уязвимость. Это позволяет злоумышленникам проникать на уязвимые серверы и устанавливать бэкдор — тайный доступ, который позволяет оставаться в системе надолго.

Вайша Бернард, главный специалист по кибербезопасности компании Eye Security из Нидерландов, рассказал, что с помощью интернет-сканирования было выявлено почти 100 жертв. И это еще до того, как метод атаки стал общеизвестным.

“Все однозначно”, — говорит Бернард, — “Кто знает, что еще успели сделать другие злоумышленники после этого, чтобы установить свои бэкдоры”.

Фонд Shadowserver подтвердил цифру — около 100 пораженных систем. Большинство пострадавших находятся в США и Германии. Среди них — правительственные учреждения.

Другой исследователь заявил, что пока атака выглядит как работа одного хакера или небольшой группы. “Это может быстро измениться”, — предупредил Рейф Пиллинг, директор по анализу киберугроз в британской компании Sophos.

Microsoft в заявлении сообщила, что уже выпустила обновление безопасности и призывает всех пользователей установить его.

Кто стоит за атакой, до сих пор неизвестно. Однако компания Google (входит в Alphabet), которая имеет доступ к большому объему интернет-трафика, связывает по крайней мере часть атак с хакерской группировкой, связанной с Китаем.

По данным поисковика Shodan, который обнаруживает устройства, подключенные к интернету, более 8 000 серверов могли быть уязвимыми. В Shadowserver насчитали чуть более 9 000, но предупреждают, что это минимальная оценка.

Среди потенциально пораженных — крупные промышленные компании, банки, аудиторские фирмы, медицинские организации, а также ряд правительственных структур США и других стран.

“Инцидент с SharePoint указывает на широкий уровень компрометации серверов во всем мире”, — сказал Даниэль Кард из британской компании PwnDefend.

“К ситуации следует подходить так, будто взлом уже произошел. И просто установить обновление недостаточно”.