מיקרוסופט על הכוונת של הסינים
חברת מיקרוסופט (Microsoft) פרסמה אזהרה חמורה לגבי קמפיין סייבר רחב היקף של האקרים סינים הממומן על ידי המדינה. השיטה מנצלת פרצות אבטחה קריטיות בגרסאות מקומיות של שרתי SharePoint, שהם פלטפורמת ניהול המסמכים ושיתופי הפעולה של החברה.
לפי הודעת מיקרוסופט, שלוש קבוצות תקיפה של האקרים סינים זוהו כמעורבות במבצע. הפורצים מנצלים שתי פרצות אבטחה חדשות המאפשרות עקיפה של מנגנוני האימות (Authentication Bypass) והפעלת קוד זדוני מרחוק (Remote Code Execution) על שרתים חשופים לאינטרנט. התקיפות החלו ב־7 ביולי והתמקדו בשרתים מקומיים בלבד, לפיכך השירות המקוון SharePoint Online בענן לא הושפע.
SharePoint משמש ארגונים גדולים לניהול מסמכים, שיתופי פעולה פנימיים והטמעת תהליכים עסקיים. שרתי המערכת כרוכים במוצרי מיקרוסופט נוספים כגון אופיס (Office), אאוטלוק (Outlook) והפלטפורמה השיתופית טימס (Teams). פגיעה במערכות אלה עלולה לחשוף מידע רגיש, להעניק לתוקפים גישה לרשתות ארגוניות ואף לאפשר להם להשיג מפתחות הצפנה למכונות.
במקרים מוצלחים של תקיפה התקינו האקרים קוד זדוני שהעניק גישה דרך דלת אחורית (Backdoor) לשמירה על גישה ממושכת לרשתות הקורבנות, ואף איפשר גניבת נתונים קריטיים.
מי עומד מאחורי הקמפיין?
לקמפיין הפריצות וגניבת המידע הרגיש שלושה גורמים עיקריים. הראשון הוא ליינן טייפון (Linen Typhoon), קבוצת האקרים הפעילה מאז 2012 והמתמקדת בגניבת קניין רוחני מארגוני ממשל, ארגוני ביטחון וארגוני זכויות אדם. לצידה פועלת קבוצת ויולט טייפון (Violet Typhoon) הפעילה מ־2015 ומרגלת נגד בכירים לשעבר, ארגונים ללא מטרות רווח, מכוני מחקר וגופי תקשורת בארה"ב, באירופה ובמזרח אסיה. הקבוצה השלישית, Storm-2603, מזוהה ברמת ודאות בינונית כקבוצה סינית שהפעילה בעבר תוכנות כופר אך מטרותיה הנוכחיות אינן ברורות.
חברת האבטחה Check Point דיווחה שהקמפיין החל במתקפה על ממשלה מערבית. הוא הסלים בסביבות 18 ביולי. מאז נרשמו עשרות ניסיונות פריצה, בעיקר בארגונים בצפון אמריקה ובמערב אירופה.
מיקרוסופט פרסמה עדכוני אבטחה קריטיים וממליצה ליישמם תוך חיזוק בקרות הגישה וביצוע בדיקות לניטור סימני חדירה. החברה מעריכה ברמת ביטחון גבוהה שההאקרים ימשיכו לנצל מערכות שלא עודכנו, וממליצה להתקין את העדכונים הרלוונטיים לשרתי SharePoint בהקדם ולהגביל את חשיפתם לאינטרנט.
