Не так давно Microsoft опубликовала предупреждение, сообщив, что хакеры активно используют уязвимость нулевого дня программного продукта SharePoint для компрометации локальных серверов разных организаций и компаний. Оценка масштаба инцидента продолжается, но уже известно, что злоумышленникам удалось скомпрометировать системы около 100 организаций. Об этом пишет Reuters со ссылкой на данные двух организаций, которые помогли раскрыть вредоносную кампанию.
Источник изображения: Desola Lanre-Ologun / Unsplash
Активность хакеров обнаружила нидерландская ИБ-компания Eye Security, когда заметила подозрительную активность, направленную против одного из своих клиентов. После этого специалисты провели сканирование интернета с помощью инструмента организации Shadowserver Foundation, что позволило им выявить около 100 жертв вредоносной кампании. Это было сделано ещё до того, как проблема приобрела широкую известность.
«Кто знает, что делали другие злоумышленники с тех пор, чтобы внедрить новые бэкдоры», — считает Вайша Бернард (Vaisha Bernard), специалист Eye Security. Он отказался назвать организации, которые подверглись хакерской атаке, но добавил, что соответствующие органы были своевременно уведомлены об инциденте. В Shadowserver Foundation подтвердили цифру в 100 пострадавших, добавив, что многие из них находятся в США и Германии, а также, что среди жертв есть правительственные организации.
Другой исследователь сказал, что, вероятно, до сих пор вредоносная кампания была делом рук одного хакера или группы хакеров. «Возможно, ситуация быстро изменится», — считает Рейф Пиллинг (Rafe Pilling), глава подразделения по анализу угроз британской ИБ-компании Sophos.
Microsoft уже выпустила патч для исправления уязвимости SharePoint, а также рекомендовала клиентам не затягивать с его установкой. Кто стоит за вредоносной кампанией, пока неизвестно. ФБР сообщило, что ведомство осведомлено о проблеме и тесно сотрудничает со своими федеральными партнёрами в рамках расследования, не назвав каких-либо подробностей. Британский национальный центр кибербезопасности сообщил об «ограниченном количестве» целей хакеров на территории королевства.
По данным системы Shodan, позволяющей идентифицировать подключаемое к интернету оборудование, более 8000 серверов в сети теоретически уже могли быть взломаны хакерами. В число этих серверов входят системы, принадлежащие крупным промышленным предприятиям, банкам, аудиторским компаниям, медицинским и государственным учреждениям в США и ряде других стран.