Liczba organizacji naruszonych w globalnej kampanii hakerskiej wykorzystującej krytyczną podatność Microsoft SharePoint wzrosła na co najmniej 400, Microsoft przypisał powszechne ataki co najmniej trzem odrębnym, sponsorowanym przez państwo grupom hakującym z Chin: lniany tajfun, fioletowy tajfun i Storm-2603. Firma zauważyła, że są to uznane podmioty zagrożone, a lniany tajfun aktywny od 2012 r. Koncentruje się na kradzieży własności intelektualnej, a Fiolet Tajphoon, po raz pierwszy zaobserwowany w 2015 r., Będąc „Dedykowane dla szpiegostwa.” To przypisanie zostało niezależnie potwierdzone przez zespół wywiadu zagrożenia Google, który wskazywał również na aktorów China-Nexus. Eksperci zauważają, że grupy te są dobrze znane ze swoich wyrafinowanych operacji. Eugenio Benincasa, badacz Centrum Studiów Bezpieczeństwa ETH Zurych, powiedział, że członkowie grup zidentyfikowanych przez Microsoft wcześniej zostali oskarżeni w Stanach Zjednoczonych za ich rzekome zaangażowanie w kampanie hakerskie ukierunkowane na organizacje amerykańskie. Dodał, że prawdopodobnie ataki są przeprowadzane przez prywatne grupy proxy „hakera dla wynajmu” pracujących z rządem. Chiński rząd zdecydowanie zaprzeczył tym zarzutom. W oświadczeniu rzecznik chińskiego Ministerstwa Spraw Zagranicznych, Guo Jiakun, powiedział: „Chiny sprzeciwiają się działaniom hakującym i walczą zgodnie z prawem. Jednocześnie sprzeciwiamy się rozmazom i atakom na Chiny pod usprawiedliwieniem kwestii bezpieczeństwa cybernetycznego”. Stwarza to znaczące napięcie geopolityczne, odzwierciedlając poprzednie incydenty, takie jak główne hacki 2021 i 2023 Hacks of Microsoft Exchange, które zostały również obwiniane z Chinami. Pierwsza fala kampanii wydawała się wąsko skoncentrowana na podmiotach związanych z rządem, znakomieniu zaawansowanego trwałego zagrożenia (APT). Silas Cutler, główny badacz w Censys, zauważył, że „początkowe wykorzystanie tej podatności było prawdopodobnie dość ograniczone pod względem celowania, ale ponieważ więcej atakujących uczy się replikowania eksploatacji, prawdopodobnie zobaczymy naruszenia w wyniku tego incydentu.” Ta szybka ewolucja jest kluczowym problemem dla specjalistów ds. Bezpieczeństwa. Podczas gdy główne ataki wzrosły około 18 lipca, dowody sugerują, że hakerzy mogli zacząć wykorzystywać podatność już 7 lipca. Jak ostrzegł Benincasa: „Teraz, że co najmniej trzy grupy wykorzystywały tę samą podatność To więcej. do jej metody. Atakerzy wykorzystują CVE-2025-53770 do kradnij klucze maszyn kryptograficznych serwera . Ta wada wpływa na SharePoint Server 2016, 2019 i edycję subskrypcji. Klienci online SharePoint pozostają niezmienieni. Kradzież tych kluczy jest znacznie bardziej niebezpieczna niż typowe naruszenie. Umożliwia atakującym podszywanie się pod użytkownikami i usługami, zapewniając im głęboki i uporczywy dostęp, który może przetrwać nawet po załataniu pierwotnej podatności. To sprawia, że naprawa jest znacznie bardziej złożona niż zwykłe zastosowanie aktualizacji i wymaga unieważnienia skradzionych kluczy. Zero-Day jest podobno wariantem wcześniej łatej wady, CVE-2025-49706. Sugeruje to, że napastnicy prawdopodobnie używali „różnicy w łatce”-analizując aktualizację bezpieczeństwa-aby szybko odkryć nowy, alternatywny wektor, aby osiągnąć ten sam złośliwy wynik. Ta szybka broń podkreśla wyrafinowanie grup ukierunkowanych na oprogramowanie korporacyjne. Potwierdzenie, że NNSA było jednym z naruszeń podmiotów podwyższył incydent do kwestii bezpieczeństwa narodowego . Chociaż agencja potwierdziła, że była ukierunkowana, eksperci sugerują, że najważniejsze dane są prawdopodobnie bezpieczne, ponieważ są przechowywane na izolowanych lub „pneumatycznych” sieciach. Jednak Edwin Lyman z Unii zainteresowanych naukowców ostrzegał: „Ale istnieją inne kategorie informacji wrażliwych, ale bez sklasyfikowanych, które mogą być traktowane z mniejszą ostrożnością i mogły zostać narażone”. Może to obejmować informacje związane z materiałami nuklearnymi lub bronią, które, choć nie tajne, są nadal bardzo wrażliwe. To naruszenie jest zgodne z niepokojącym wzorcem ataków na krytyczną infrastrukturę w USA, w tym poprzednie wyczyny SharePoint i hacki serwera Exchange 2021 i 2023. Incydent ten prawdopodobnie będzie tematem dyskusji w nadchodzących rozmowach handlowych, jak wskazał sekretarz skarbu USA Scott Bessent, który powiedział: „Oczywiście takie rzeczy będą w porządku obrad z moimi chińskimi odpowiednikami.” w reakcji na aktywne wykorzystywanie, Microsoft Patchft Patchofts Patchofts Slisted Sharepsoft Slisted Shara. Wersje 21 lipca. Firma wezwała administratorów do natychmiastowego zastosowania aktualizacji, aby zapobiec początkowemu kompromisowi. Jednak samo łatanie nie wystarczy. Microsoft podkreślił, że organizacje muszą
Agencja nuklearna naruszenie alarmów bezpieczeństwa narodowego
Rasa do łatania: Microsoft i CISA Problem Urgent Guidance
Categories: IT Info