Bezpečnostná aktualizácia Microsoftu vydaná tento mesiac nedokázala úplne opraviť kritickú zraniteľnosť v serverovom softvéri SharePoint, čo otvorilo cestu k rozsiahlej globálnej kyberšpionážnej kampani, vyplýva z časovej osi udalostí, ktorú preštudovala agentúra Reuters.
V utorok hovorca Microsoftu potvrdil, že počiatočná záplata, ktorá mala odstrániť zraniteľnosť objavenú počas hackerskej súťaže v máji, nefungovala. Spoločnosť však už vydala ďalšie záplaty, ktoré podľa nej problém vyriešili.
Zatiaľ nie je známe, kto presne stojí za týmto útokom, ktorý počas víkendu zasiahli približne 100 organizácií. Očakáva sa, že rozsah škodlivej aktivity porastie, keďže sa k nej môžu pridať ďalšie hackerské skupiny.
V blogu Microsoftu sa uvádza, že do útokov je zapojených minimálne dve čínske hackerské skupiny s názvami Linen Typhoon a Violet Typhoon, ako aj tretia skupina, ktorá má tiež pôvod v Číne.
Microsoft a Google (divízia Alphabet) uviedli, že za prvou vlnou útokov pravdepodobne stoja hackeri prepojení s Čínou. Čína tradične popiera akúkoľvek súvislosť s kybernetickými útokmi.
Na otázku Reuters čínske veľvyslanectvo vo Washingtone uviedlo, že krajina sa stavia proti všetkým formám kybernetických útokov a odsudzuje „bezpodstatné obvinenia“.
Zraniteľnosť, ktorá umožnila tieto útoky, bola prvýkrát objavená v máji počas hackerskej súťaže v Berlíne, ktorú organizovala spoločnosť Trend Micro zameraná na kybernetickú bezpečnosť. Ponúkala odmenu 100 000 dolárov za zero-day exploit — doteraz neznáme chyby — vo softvéri ako SharePoint.
Medzi potenciálnymi obeťami bol aj Národný úrad pre jadrovú bezpečnosť USA, ktorý zodpovedá za jadrový arzenál krajiny. Podľa Bloomberg boli dáta tohto úradu tiež získané, hoci zatiaľ neboli zistené úniky dôverných či tajných informácií.
Výskumník z Viettel, vietnamskej telekomunikačnej spoločnosti pod vojenskou kontrolou, zraniteľnosť identifikoval počas súťaže v máji, pomenoval ju ToolShell a demonštroval možnosť jej využitia. Za to dostal 100 000 dolárov v rámci iniciatívy Trend Micro „Zero Day“.
V stanovisku Trend Micro sa zdôrazňuje, že zodpovednosť za načasované opravy zraniteľností nesú dodávatelia softvéru. „Záplaty niekedy nefungujú. To sa už stalo aj so SharePointom,“ uvádza sa v oznámení.
Vo svojej bezpečnostnej aktualizácii z 8. júla Microsoft klasifikoval zraniteľnosť ako kritickú a vydal záplaty. Približne o 10 dní neskôr však bezpečnostné firmy zaznamenali vlnu škodlivej aktivity zameranej na tie isté servery SharePoint.
Britská spoločnosť Sophos v pondelok informovala, že útočníci vyvinuli exploity schopné obísť záplaty Microsoftu.
Potenciálny počet zraniteľných cieľov ToolShell zostáva veľmi vysoký. Podľa vyhľadávača Shodan, ktorý monitoruje zariadenia pripojené na internet, mohli hackeri potenciálne kompromitovať viac ako 8000 serverov.
Tieto servery sa nachádzajú v sieťach audítorských firiem, bánk, zdravotníckych zariadení, priemyselných podnikov, vládnych agentúr USA a medzinárodných organizácií.
Nadácia Shadowserver, ktorá skenuje internet kvôli zraniteľnostiam, spočítala viac ako 9000 potenciálne kompromitovaných serverov a označila toto číslo za minimálne odhad. Najviac postihnutých je v USA a Nemecku.
Nemecký Federálny úrad pre informačnú bezpečnosť (BSI) v utorok uviedol, že neodhalil žiadne napadnuté SharePoint servery v štátnych sieťach, hoci niektoré z nich boli na útok ToolShell zraniteľné.