Kinesiska attacker mot SharePoint-servrar har kopplats till flera statligt sponsrade hackergrupper, enligt en ny säkerhetsvarning från Microsoft. Företaget uppger att minst tre spionteam baserade i Kina ligger bakom de senaste intrången, där en kritisk kedja av SharePoint-sårbarheter har utnyttjats.
Dessa sårbarheter tillåter fullständig fjärråtkomst till servrar – utan några inloggningsuppgifter. Resultatet: dussintals organisationer har redan komprometterats, och fler kan drabbas om inte akuta säkerhetsuppdateringar tillämpas.
Tre spiongrupper identifierade
Microsoft rapporterar att Linen Typhoon, Violet Typhoon och Storm-2603 har observerats rikta in sig aktivt på internetexponerade SharePoint-servrar. Dessa aktörer tros vara baserade i Kina och har kopplingar till tidigare avancerade cyberspionagekampanjer.
Linen Typhoon (APT27)
- Aktiv sedan 2012
- Mål: regeringar, försvar och människorättsorganisationer
- Känd för att stjäla immateriella rättigheter via befintliga exploits och ”drive-by”-attacker
Violet Typhoon (APT31)
- Aktiv sedan 2015
- Mål: NGO:er, medier, utbildnings- och finanssektorn
- Utför sofistikerad övervakning av före detta regerings- och militärpersonal
Storm-2603
- Tidigare kopplad till LockBit- och Warlock-ransomware
- Undersöks fortfarande, men Microsoft bedömer att gruppen är Kina-baserad
- Målen för attackerna är ännu oklara
Så fungerar attackerna
Alla tre grupper använder samma metod för utnyttjande. De skickar specialdesignade POST-förfrågningar till SharePoints ToolPane-endpoint, där de laddar upp skadlig kod, exempelvis spinstall0.aspx.
Detta skript extraherar MachineKey-data, som sedan skickas tillbaka via en GET-förfrågan – vilket ger angriparna de kryptografiska nycklar som behövs för att kapa systemen.
Microsoft har även sett filnamnsvariationer som:
spinstall.aspxspinstall1.aspxspinstall2.aspx
Global påverkan och akuta varningar
Myndigheter världen över varnar nu organisationer om att omedelbart uppdatera sina system. Microsoft, tillsammans med andra säkerhetsföretag, rekommenderar följande åtgärder:
- Installera de senaste säkerhetspatcharna för SharePoint
- Roterar alla kryptografiska nycklar
- Granska serveraktivitet och loggar noggrant
Enligt rapporter från CNBC och Bloomberg har flera högt profilerade amerikanska myndigheter redan drabbats, bland annat:
- US National Nuclear Security Administration (NNSA)
- Department of Education
- Floridas skattemyndighet
- Representanthuset i delstaten Rhode Island
Minst 100 servrar har bekräftats komprometterade – och fler kan tillkomma.
Microsofts bedömning och Kinas förnekelse
Microsoft uppger med hög säkerhet att dessa grupper kommer att fortsätta angripa SharePoint-servrar som saknar uppdateringar. Utredningar pågår, och fler offer kan komma att identifieras.
Som svar på anklagelserna har Kinas ambassad i Washington nekat all inblandning och kallat anklagelserna grundlösa och politiskt motiverade.
Slutsats
Attackerna mot kinesiska SharePoint-servrar visar hur sårbara opatchade system kan bli riktade nationella säkerhetsmål. Med statligt sponsrade spiongrupper som aktivt utnyttjar zero-day-sårbarheter måste organisationer agera snabbt – eller riskera att bli nästa rubrik.
0 svar till ”Kinesiska SharePoint-attacker kopplas till Kina-stödda hackare”