Pequim – A Microsoft acusou os atores chineses patrocinados pelo Estado de explorar vulnerabilidades em um de seus populares produtos de software de colaboração, o SharePoint, que é usado por agências governamentais dos EUA e por muitas empresas em todo o mundo.
A Microsoft disse em um aviso em seu blog de segurança em 22 de julho que identificou pelo menos dois grupos da China vinculados ao governo chinês que, segundo ele, estavam aproveitando as falhas de segurança em seu software do SharePoint. Esses ataques visam entrar nos sistemas de computador dos usuários.
Esses grupos, chamados Typhoon e Typhoon Violet, eram aqueles que a Microsoft disse que está rastreando há anos. Eles estavam mirando organizações e pessoal relacionados ao governo, defesa, direitos humanos, ensino superior, mídia e serviços financeiros e de saúde nos Estados Unidos, Europa e Ásia Oriental, acrescentou.
A Microsoft disse que outro ator, chamado Storm-2603, também esteve envolvido na campanha de hackers. Ele disse que tinha “confiança média” que o Storm-2603 era um “ator de ameaças da China”.
A agência de segurança de segurança cibernética e infraestrutura do governo dos EUA (CISA) emitiu um aviso que dizia que estava ciente do ataque de hackers ao SharePoint. Ele acrescentou que notificou “organizações críticas de infraestrutura” afetadas.
“Embora o escopo e o impacto continuem sendo avaliados”, disse a agência, as vulnerabilidades permitiriam “atores maliciosos acessarem totalmente o conteúdo do SharePoint, incluindo sistemas de arquivos e configurações internas e executará código sobre a rede”.
Um porta-voz da Microsoft escreveu em uma resposta por e-mail que a empresa estava “coordenando de perto” com CISAComando de defesa cibernética do Departamento de Defesa e “parceiros-chave de segurança cibernética globalmente ao longo de nossa resposta”.
A embaixada chinesa em Washington não respondeu imediatamente a um pedido de comentário. A China rotineiramente negou estar por trás de ataques cibernéticos e afirma que é vítima deles.
A Microsoft disse em seu post no blog que investigações sobre outros atores também usando essas façanhas ainda estavam em andamento.
A Eye Security, uma empresa de segurança cibernética, disse que examinou mais de 23.000 servidores do SharePoint em todo o mundo e descobriu que mais de 400 sistemas haviam sido ativamente comprometidos.
A empresa também observou que as violações poderiam permitir que os hackers roubassem chaves criptográficas que lhes permitiriam se passar por usuários ou serviços, mesmo depois que o servidor foi corrigido. Ele disse que os usuários precisariam tomar mais medidas para proteger suas informações.
Os hackers chineses mostraram sofisticação crescente em sua capacidade de penetrar nos sistemas do governo dos EUA, deixando os funcionários americanos cada vez mais alarmados. Durante uma violação do sistema de telecomunicações dos EUA em 2024Hackers chineses puderam ouvir conversas telefônicas e ler mensagens de texto, disseram membros do Congresso.
O hack foi considerado tão severo que então O presidente Joe Biden aceitou diretamente com o presidente Xi Jinping da China quando se reuniu no Peru em novembro.
Nesta última violação, a Microsoft disse que os hackers usavam as fraquezas do software para tentar e obter acesso a “organizações -alvo” desde o dia 7 de julho. Emitiu atualizações de segurança e instou os usuários a instalá -los imediatamente.
A Microsoft revelou as vulnerabilidades no SharePoint em Julhomas a princípio os remendou apenas parcialmente. Ele disse em 19 de julho que estava ciente dos ataques ativos tentando explorar essas vulnerabilidades.
As empresas de cibersegurança disseram que acreditavam que os atores chineses estavam entre os atacantes, mesmo antes da Microsoft, disse isso em 22 de julho.
O SharePoint ajuda as organizações a criar sites e gerenciar documentos. Ele se integra a outros serviços da Microsoft, como Office, Teams e Outlook.
A Microsoft disse que as vulnerabilidades afetaram apenas os servidores do SharePoint, o que significa que aqueles gerenciados pelas organizações em suas próprias redes de computadores, e não aquelas operadas na nuvem da Microsoft.
A Palo Alto Networks, uma empresa de cibersegurança, disse em um post sobre a violação que os servidores locais “particularmente dentro do governo, escolas, assistência médica (incluindo hospitais) e grandes empresas empresariais” estavam “por risco imediato”.
“Um compromisso nessa situação não permanece contido, abre a porta para toda a rede”, disse a empresa de segurança cibernética. NYTIMES
