Σε κατάσταση συναγερμού έχει τεθεί η παγκόσμια κοινότητα της κυβερνοασφάλειας μετά από την αποκάλυψη σοβαρής ευπάθειας στους διακομιστές SharePoint της Microsoft, η οποία βρίσκεται ήδη στο στόχαστρο χάκερ σε δεκάδες οργανισμούς ανά τον κόσμο. Η ίδια η Microsoft επιβεβαίωσε το Σάββατο την ύπαρξη ενεργών επιθέσεων σε on-premises διακομιστές της, δηλώνοντας ότι κυκλοφόρησε ενημέρωση ασφαλείας για τον περιορισμό του προβλήματος, ενώ συνεχίζει να εργάζεται στην ανάπτυξη περαιτέρω διορθώσεων.
Συγκεκριμένα, η ευπάθεια που εντοπίστηκε επιτρέπει σε κακόβουλους παράγοντες να αποκτούν μη εξουσιοδοτημένη πρόσβαση σε εσωτερικά συστήματα, να διαβάζουν ή να τροποποιούν αρχεία, καθώς και να εκτελούν απομακρυσμένα κώδικα μέσω δικτύου. Σύμφωνα με την Αμερικανική Υπηρεσία Κυβερνοασφάλειας και Ασφάλειας Υποδομών (CISA), πρόκειται για μια αρκετά σοβαρή απειλή που επιτρέπει στους επιτιθέμενους να παγιώσουν την παρουσία τους στα συστήματα-στόχους.
Η εταιρεία κυβερνοασφάλειας Censys εκτιμά ότι τουλάχιστον 10.000 οργανισμοί παγκοσμίως διατρέχουν κίνδυνο, με τις Ηνωμένες Πολιτείες να είναι η πλέον εκτεθειμένη χώρα, ακολουθούμενη από την Ολλανδία, το Ηνωμένο Βασίλειο και τον Καναδά. Ο ερευνητής της εταιρείας, Silas Cutler, χαρακτήρισε την κατάσταση ως «όνειρο για τους ransomware operators» και προειδοποίησε ότι οι επιθέσεις θα συνεχιστούν και το Σαββατοκύριακο.
Παρόμοια ήταν η εκτίμηση της Palo Alto Networks, η οποία επιβεβαίωσε την κυκλοφορία «πραγματικών exploits που αποτελούν σοβαρή απειλή». Η Google, μέσω της ομάδας Threat Intelligence Group, ανακοίνωσε ότι έχει ήδη καταγράψει επιθέσεις οι οποίες «παρέχουν επίμονη, μη πιστοποιημένη πρόσβαση», επισημαίνοντας τον υψηλό κίνδυνο που ελλοχεύει για τους οργανισμούς.
Η Washington Post αποκάλυψε ότι οι επιθέσεις έχουν ήδη πλήξει ομοσπονδιακές και πολιτειακές υπηρεσίες των ΗΠΑ, πανεπιστήμια, εταιρείες ενέργειας, ακόμη και μια ασιατική εταιρεία τηλεπικοινωνιών. Οι αρμόδιες αρχές, περιλαμβανομένου του FBI και του Εθνικού Κέντρου Κυβερνοασφάλειας του Ηνωμένου Βασιλείου, έχουν δηλώσει ότι παρακολουθούν την κατάσταση στενά, αν και δεν έχουν δώσει στη δημοσιότητα λεπτομέρειες για το εύρος των παραβιάσεων.
Η Microsoft, από την πλευρά της, βρίσκεται στο στόχαστρο επιθέσεων εδώ και μήνες. Για την ακρίβεια, τον Μάρτιο είχε προειδοποιήσει για δραστηριότητα Κινέζων χάκερ που στόχευαν εργαλεία απομακρυσμένης διαχείρισης και cloud εφαρμογές, σε μια φερόμενη επιχείρηση κυβερνοκατασκοπείας. Επιπλέον, πέρυσι το Cyber Safety Review Board του Λευκού Οίκου είχε χαρακτηρίσει «ανεπαρκή» την κουλτούρα ασφαλείας της εταιρείας, με αφορμή την παραβίαση του 2023 στους λογαριασμούς Exchange Online, κατά την οποία επηρεάστηκαν 22 οργανισμοί και εκατοντάδες άτομα, μεταξύ των οποίων και η πρώην Υπουργός Εμπορίου των ΗΠΑ, Gina Raimondo.
Η πιο πρόσφατη εκστρατεία κυβερνοκατασκοπείας φαίνεται να εκμεταλλεύεται μια zero-day ευπάθεια, δηλαδή μια αδυναμία που ήταν μέχρι πρότινος άγνωστη στους προγραμματιστές. Μέσω αυτής, οι χάκερ μπορούν να διεισδύσουν σε ευάλωτους διακομιστές και να εγκαταστήσουν «κερκόπορτες» για συνεχή πρόσβαση. Ο Βάισα Μπέρναρντ από την ολλανδική εταιρεία Eye Security ανέφερε ότι σε σάρωση που έγινε σε συνεργασία με το Ίδρυμα Shadowserver εντοπίστηκαν περίπου 100 οργανισμοί-θύματα, προτού ακόμη η τεχνική της επίθεσης γίνει γνωστή στο ευρύ κοινό.
Το Shadowserver επιβεβαίωσε τον αριθμό των 100 οργανισμών, με τους περισσότερους να βρίσκονται σε ΗΠΑ και Γερμανία, ενώ ανάμεσα στα θύματα συγκαταλέγονται και κυβερνητικοί φορείς. Ο Ράφ Πίλινγκ της Sophos δήλωσε ότι μέχρι στιγμής φαίνεται να πρόκειται για ενέργεια ενός μόνο χάκερ ή μιας ομάδας, αλλά σημείωσε ότι η κατάσταση μπορεί να αλλάξει ταχύτατα.
Μέχρι στιγμής η έκταση των πιθανών θυμάτων παραμένει αβέβαιη. Η μηχανή αναζήτησης Shodan εκτιμά ότι πάνω από 8.000 servers παγκοσμίως ενδέχεται να έχουν παραβιαστεί, ενώ η Shadowserver ανεβάζει τον αριθμό σε λίγο πάνω από 9.000. Μεταξύ αυτών βρίσκονται τράπεζες, βιομηχανίες, εταιρείες υγειονομικής περίθαλψης και κρατικές υπηρεσίες.
Ο αναλυτής κυβερνοασφάλειας Ντάνιελ Καρντ από την PwnDefend σχολίασε ότι η επίθεση δείχνει να έχει δημιουργήσει ένα «ευρύ επίπεδο παραβίασης» σε servers παγκοσμίως και τόνισε πως η εγκατάσταση των ενημερώσεων ασφαλείας δεν είναι αρκετή από μόνη της. Προέτρεψε σε μια πιο ολοκληρωμένη προσέγγιση, με βάση την παραδοχή ότι οι παραβιάσεις έχουν ήδη συμβεί.
