Kriittisen Microsoft SharePoint-haavoittuvuuden hyödyntämässä globaalissa hakkerointikampanjassa olevien organisaatioiden lukumäärä on noussut vähintään 400: een “Vakoilulle omistettu.”ETUGENIO Benincasa, ETH Zürichin turvallisuustutkimuksen keskuksen tutkija, kertoi, että Microsoftin tunnistamien ryhmien jäsenet oli aiemmin syytetty Yhdysvalloissa väitetystä osallistumisestaan kampanjoihin, jotka kohdistuvat amerikkalaisiin organisaatioihin. Hän lisäsi, että on todennäköistä, että yksityiset”hakkerit vuokraus”-ryhmät tekevät hyökkäykset hallituksen kanssa työskentelevällä välityspalvelimella.
Kiinan hallitus on kuitenkin tiukasti kiistänyt nämä väitteet. Kiinan ulkoministeriön tiedottaja Guo Jiakun sanoi lausunnossaan:”Kiina vastustaa ja taistelee hakkerointitoimintaa lain mukaisesti. Samanaikaisesti vastustamme kippoja ja hyökkäyksiä Kiinaa vastaan kyberturvallisuuskysymysten tekosyynä.”Tämä luo merkittäviä geopoliittisia jännitteitä, kaikuen aiempia tapauksia, kuten Microsoft Exchange-tapahtumien tärkeimpiä 2021 ja 2023, hakkereita, joita myös syytettiin Kiinasta.
Kampanjan alkuperäinen aalto näytti olevan kapeasti keskittynyt hallitukseen liittyviin kokonaisuuksiin, joka on edistyneiden jatkuvan uhkaryhmien hallinto. Censysin päätutkija Silas Cutler havaitsi, että “tämän haavoittuvuuden alkuperäinen hyväksikäyttö oli todennäköisesti melko rajallinen kohdistamisessa, mutta kun enemmän hyökkääjiä oppii toistamaan hyväksikäytön, näemme todennäköisesti rikkomuksia tämän tapauksen seurauksena.”
Tämä nopea evoluutio on turvallisuusalan ammattilaisten keskeinen huolenaihe. Vaikka tärkeimmät hyökkäykset nousivat 18. heinäkuuta, todisteet viittaavat siihen, että hakkerit ovat saattaneet alkanut hyödyntää haavoittuvuutta jo 7. heinäkuuta. Kuten Benincasa varoitti: “Nyt kun ainakin kolme ryhmää on ilmoittanut hyödyntänyt samaa haavoittuvuutta, sen uskottava enemmän voisi seurata.”
-hyökkäys: Stalen Keys-apurahat. insidious due to its method. Hyökkääjät hyödyntävät CVE-201025-53770 varasta palvelimen salauskonepakkaukset . This flaw affects SharePoint Server 2016, 2019, and the Subscription Edition. SharePoint Online customers remain unaffected.
Stealing these keys is far more dangerous than a typical breach. Sen avulla hyökkääjät voivat esiintyä käyttäjiä ja palveluita antaen heille syvän ja jatkuvan pääsyn, joka voi selviytyä myös alkuperäisen haavoittuvuuden jälkeen. Tämä tekee kunnostamisesta paljon monimutkaisemman kuin yksinkertaisesti päivityksen soveltaminen ja vaatii varastetun näppäimen mitätöimisen. Tämä viittaa siihen, että hyökkääjät käyttivät todennäköisesti “korjaustiedostoa”-tietoturvapäivityksen analysointia-löytääkseen nopeasti uuden vaihtoehtoisen vektorin saman haitallisen lopputuloksen saavuttamiseksi. Tämä nopea aseistaminen korostaa yritysohjelmistojen kohdentavien ryhmien hienostuneisuutta.