Kinesiske angrep mot SharePoint-servere er blitt koblet til flere statsstøttede hackergrupper, ifølge en ny sikkerhetsvarsling fra Microsoft. Selskapet sier at minst tre spionlag basert i Kina står bak de siste datainnbruddene, som utnytter en kritisk sårbarhetskjede i SharePoint.
Disse sårbarhetene gir full ekstern tilgang til servere – uten behov for innloggingsinformasjon. Som følge av dette har titalls organisasjoner allerede blitt kompromittert, og flere kan rammes dersom ikke nødvendige sikkerhetsoppdateringer installeres umiddelbart.
Tre spiongrupper identifisert
Microsoft opplyser at Linen Typhoon, Violet Typhoon og Storm-2603 har blitt observert i aktive angrep mot SharePoint-servere eksponert mot internett. Disse aktørene antas å ha base i Kina og er koblet til tidligere avanserte cyberspionasjekampanjer.
Linen Typhoon (APT27)
- Aktiv siden 2012
- Retter seg mot myndigheter, forsvar og menneskerettighetsorganisasjoner
- Kjent for å stjele immaterielle rettigheter ved hjelp av kjente sårbarheter og drive-by-angrep
Violet Typhoon (APT31)
- Aktiv siden 2015
- Målretter NGO-er, medier, utdanning og finanssektoren
- Utfører sofistikert overvåking av tidligere regjerings- og militærpersonell
Storm-2603
- Tidligere koblet til LockBit- og Warlock-ransomware
- Undersøkes fortsatt, men Microsoft mener gruppen er basert i Kina
- Angrepsmålene er foreløpig uklare
Slik fungerer utnyttelsen
Alle tre gruppene bruker samme metode for å utnytte sårbarhetene. De sender spesialkonstruerte POST-forespørsler til SharePoint ToolPane-endepunktet og laster opp skadelige skript som spinstall0.aspx.
Dette skriptet trekker ut MachineKey-data, som deretter sendes tilbake via en GET-forespørsel – noe som gir angriperne de kryptografiske nøklene de trenger for å ta over systemene.
Microsoft har også observert filnavnsvarianter som:
spinstall.aspxspinstall1.aspxspinstall2.aspx
Globalt omfang og akutte advarsler
Myndigheter over hele verden advarer nå organisasjoner om å oppdatere sine systemer umiddelbart. Microsoft og andre sikkerhetsfirmaer anbefaler følgende tiltak:
- Installer de nyeste sikkerhetsoppdateringene for SharePoint
- Roter alle kryptografiske nøkler
- Revider serverlogger og aktivitet
Ifølge rapporter fra CNBC og Bloomberg har flere profilerte amerikanske organisasjoner allerede blitt rammet, inkludert:
- US National Nuclear Security Administration (NNSA)
- Department of Education
- Floridas skatteetat
- Representantenes hus i delstaten Rhode Island
Minst 100 servere har blitt kompromittert, og flere kan være berørt.
Microsofts vurdering og Kinas benektelse
Microsoft uttaler med høy grad av sikkerhet at disse gruppene vil fortsette å angripe SharePoint-installasjoner som mangler oppdateringer. Etterforskningen pågår fortsatt, og flere ofre kan bli identifisert.
Som svar på anklagene har Kinas ambassade i Washington nektet enhver involvering og kalt påstandene grunnløse og politisk motiverte.
Konklusjon
De kinesiske SharePoint-angrepene viser hvor kritiske uoppdaterte systemer kan være som mål for nasjonale sikkerhetstrusler. Med statssponsede spionasjeteorier som utnytter zero-day-sårbarheter i det skjulte, må organisasjoner handle raskt for å beskytte sin infrastruktur – eller risikere å bli neste offer i overskriftene.
0 svar til “Kinesiske SharePoint-angrep koblet til Kina-støttede hackere”