Circa 100 de companii și instituții, compromise după atacul cibernetic asupra Microsoft. „Este posibil să se agraveze”
Un atac masiv de spionaj cibernetic care a vizat serverele Microsoft SharePoint a compromis până acum aproximativ 100 de organizaţii din întreaga lume, potrivit companiilor de securitate cibernetică.
Microsoft a emis sâmbătă un avertisment privind „atacuri active” asupra serverelor SharePoint gestionate local, folosite pe scară largă de instituţii guvernamentale şi companii pentru partajarea internă de documente.
Vulnerabilitatea exploatată este de tip „zero-day” – adică necunoscută anterior – şi permite atacatorilor să pătrundă în servere nesecurizate şi să instaleze „o uşă din spate” (backdoor) pentru acces continuu.
100 de victime
Vaisha Bernard, cercetător principal la Eye Security (Olanda), compania care a descoperit atacul analizând un caz al unui client vineri, a declarat că o scanare a internetului realizată împreună cu Fundaţia Shadowserver a identificat deja aproape 100 de victime – înainte ca metoda de atac să devină publică.
„Este fără echivoc. Cine ştie ce alţi adversari au mai instalat backdoor-uri între timp”, a spus Bernard. Numele organizaţiilor afectate nu au fost dezvăluite, dar autorităţile naţionale relevante au fost informate.
Fundaţia Shadowserver a confirmat cifra şi a precizat că majoritatea victimelor se află în Statele Unite şi Germania, inclusiv agenţii guvernamentale.
Un alt cercetător a declarat că, deocamdată, atacul pare să fie opera unui singur grup sau individ, dar lucrurile ar putea evolua rapid.
„Este posibil ca această situaţie să se agraveze curând”, a avertizat Rafe Pilling, director de intelligence la firma britanică Sophos.
Nu se știe cine a comis atacul
Microsoft a transmis că a furnizat actualizări de securitate şi a încurajat clienţii să le instaleze fără întârziere. Nu se cunoaşte încă identitatea atacatorilor.
FBI a confirmat că investighează incidentul, iar Centrul Naţional de Securitate Cibernetică din Marea Britanie a declarat că a identificat ”un număr limitat” de ţinte pe teritoriul britanic.
Potrivit platformei Shodan, care identifică dispozitive conectate la internet, peste 8.000 de servere ar fi vulnerabile în prezent, inclusiv cele aparţinând unor companii industriale majore, bănci, firme de audit, companii din domeniul sănătăţii şi entităţi guvernamentale americane şi internaţionale.
„Incidentul SharePoint pare să fi generat o compromitere extinsă la nivel global”, a declarat Daniel Card, specialist în securitate de la firma britanică PwnDefend.
„Este înţelept să presupunem că serverul a fost deja compromis şi, mai important, aplicarea patch-ului nu este suficientă – e nevoie de o analiză completă a sistemului”.
