Kinesiske angreb på SharePoint-servere er blevet knyttet til flere statsstøttede hackergrupper, ifølge en ny sikkerhedsadvarsel fra Microsoft. Virksomheden oplyser, at mindst tre spionagegrupper med base i Kina står bag de seneste brud, hvor en kritisk sårbarhedskæde i SharePoint er blevet udnyttet.
Disse sårbarheder giver fuld fjernadgang til servere – uden nogen form for loginoplysninger. Som resultat er adskillige organisationer allerede blevet kompromitteret, og flere kan blive ramt, medmindre der straks installeres sikkerhedsopdateringer.
Tre spionagegrupper identificeret
Microsoft siger, at Linen Typhoon, Violet Typhoon og Storm-2603 er blevet observeret i målrettede angreb mod SharePoint-servere med internetadgang. Disse aktører menes at være baseret i Kina og har forbindelse til tidligere avancerede cyberspionagekampagner.
Linen Typhoon (APT27)
- Aktiv siden 2012
- Målretter regeringer, forsvarsorganisationer og menneskerettighedsgrupper
- Kendt for at stjæle intellektuel ejendom via kendte exploits og drive-by-angreb
Violet Typhoon (APT31)
- Aktiv siden 2015
- Retter sig mod NGO’er, medier, uddannelsesinstitutioner og finanssektoren
- Udfører sofistikeret overvågning af tidligere embedsmænd og militærpersonale
Storm-2603
- Tidligere forbundet med LockBit og Warlock ransomware
- Er stadig under efterforskning, men Microsoft vurderer, at gruppen har base i Kina
- Gruppens mål er stadig uklare
Sådan fungerer udnyttelsen
Alle tre grupper bruger den samme metode til at udnytte sårbarheden. De sender specialkonstruerede POST-anmodninger til SharePoints ToolPane-endpoint og uploader ondsindede scripts som spinstall0.aspx.
Dette script udtrækker MachineKey-data, som derefter sendes tilbage via en GET-anmodning – hvilket giver hackerne de kryptografiske nøgler, de skal bruge for at overtage systemerne.
Microsoft har også set variationer i filnavne såsom:
spinstall.aspxspinstall1.aspxspinstall2.aspx
Global indvirkning og akutte advarsler
Myndigheder over hele verden advarer organisationer om at opdatere deres systemer øjeblikkeligt. Microsoft og andre cybersikkerhedsfirmaer anbefaler følgende:
- Installer de nyeste SharePoint-opdateringer
- Roter alle kryptografiske nøgler
- Gennemgå serveraktiviteter og logfiler
Ifølge rapporter fra CNBC og Bloomberg er flere højtprofilerede amerikanske myndigheder allerede blevet kompromitteret, herunder:
- US National Nuclear Security Administration (NNSA)
- Uddannelsesministeriet (Department of Education)
- Floridas skattemyndighed
- Delstatsforsamlingen i Rhode Island
Mindst 100 servere er blevet kompromitteret, og flere kan være berørt.
Microsofts vurdering og Kinas benægtelse
Microsoft udtaler med stor sikkerhed, at disse grupper vil fortsætte med at angribe ikke-opdaterede SharePoint-systemer. Undersøgelserne er stadig i gang, og yderligere ofre kan blive identificeret.
Som svar på anklagerne har Kinas ambassade i Washington afvist enhver involvering og kaldt beskyldningerne ubegrundede og politisk motiverede.
Konklusion
De kinesiske SharePoint-angreb viser, hvor sårbare uopdaterede systemer kan være som mål for national sikkerhedstrussel. Med spionagegrupper, der aktivt udnytter zero-day-sårbarheder, skal organisationer handle hurtigt for at beskytte deres infrastruktur – ellers risikerer de at blive den næste overskrift.
0 svar til “Kinesiske SharePoint-angreb koblet til Kina-støttede hackere”