Agjencia amerikane për projektimin e armëve bërthamore është një nga organizatat që ranë pre e hakerave kinezë që sulmuan Microsoft Corporation. Microsoft paralajmëroi se hakerat kinezë të sponsorizuar nga shteti shfrytëzuan të metat në softuerin e saj SharePoint për të depërtuar në institucione në nivel global.
Në një postim në blog, gjiganti i teknologjisë identifikoi dy grupe të mbështetura nga qeveria kineze, Linen Typhoon dhe Violet Typhoon, si shfrytëzuese të të metave në softuerin e saj të ndarjes së dokumenteve që i bënte klientët që e përdorin atë në rrjetet e tyre, në krahasim me ata në rrjetet cloud, të prekshëm. Një tjetër grup hakerash me bazë në Kinë, të cilin Microsoft e quan Storm-2603, gjithashtu i shfrytëzoi ato të meta, sipas blogut.
Numri i kompanive dhe agjencive të goditura ndaj shkeljeve si rezultat i këtyre shfrytëzimeve është ndërkohë në rritje: Hakerët kanë përdorur të metat e SharePoint për të depërtuar në Administratën Kombëtare të Sigurisë Bërthamore të SHBA-së, sipas një personi me njohuri për çështjen i cili nuk ishte i autorizuar të fliste publikisht. Bloomberg raportoi gjithashtu të hënën se sistemet që i përkisnin Departamentit të Arsimit të SHBA-së, Departamentit të të Ardhurave të Floridës dhe Asamblesë së Përgjithshme të Rhode Island ishin kompromentuar gjithashtu.
Ndërsa Microsoft ka përditësuar softuerin e tij ditët e fundit, studiuesit e sigurisë kibernetike kanë zbuluar tashmë shkelje në më shumë se 100 servera që përfaqësojnë 60 viktima deri më tani, duke përfshirë organizata në sektorin e energjisë, firma këshilluese dhe universitete. Hakerët gjithashtu kanë shfrytëzuar softuerin për të depërtuar në sistemet e qeverive kombëtare nga Evropa në Lindjen e Mesme, sipas një personi të njohur me çështjen.
Të metat e SharePoint janë përdorur në sulme kibernetike që të paktën nga 7 korriku, tha Adam Meyers, nënkryetar i lartë në CrowdStrike Holdings Inc. Shfrytëzimi i hershëm i ngjante veprimtarisë së sponsorizuar nga qeveria dhe më pas u përhap më gjerësisht duke përfshirë edhe sulmet kibernetike që “duken si nga Kina”, tha Meyers. Hetimi i CrowdStrike për fushatën është duke vijuar, tha ai.
Microsoft tha në blogun e saj se hetimet e saj për aktorë të tjerë kërcënues që përdorin këto shfrytëzime “janë ende duke vijuar”. Kompania tha se ka “besim të fortë” se hakerat do “vijojnë t’i integrojnë ato në sulmet e tyre”.
Në një deklaratë, Ambasada Kineze në Uashington tha se Kina kundërshton me vendosmëri të gjitha format e sulmeve kibernetike dhe krimit kibernetik.
“Në të njëjtën kohë, ne gjithashtu kundërshtojmë fuqimisht njollosjen e të tjerëve pa prova të forta”, tha ajo.
“Shpresojmë që palët përkatëse të miratojnë një qëndrim profesional dhe të përgjegjshëm kur karakterizojnë incidentet kibernetike, duke i bazuar përfundimet e tyre në prova të mjaftueshme dhe jo në spekulime dhe akuza të pabaza.”
Nuk dihet që asnjë informacion i ndjeshëm ose i klasifikuar të jetë kompromentuar në sulmin ndaj Administratës Kombëtare të Sigurisë Bërthamore, tha personi që kishte dijeni për shkeljen. Krahu gjysmëautonom i Departamentit të Energjisë është përgjegjës për prodhimin dhe çmontimin e armëve bërthamore. Pjesë të tjera të departamentit u kompromentuan gjithashtu.
Një zëdhënës i Departamentit të Energjisë tha me email se shfrytëzimi i SharePoint filloi të ndikonte në agjenci më 18 korrik, por ishte i kufizuar nga fakti që departamenti përdor cloud-in e Microsoft-it.
Ndërkohë, përfaqësuesit e Departamentit të Arsimit të SHBA-së dhe legjislaturës së Rhode Island nuk iu përgjigjën telefonatave dhe emaileve që kërkonin koment. Departamenti i të Ardhurave i Floridës tha se dobësitë e SharePoint po hetoheshin “në nivele të shumëfishta të qeverisjes”, por nuk pranoi komente të mëtejshme.
Hakerat kanë shkelur gjithashtu sistemet e një ofruesi të kujdesit shëndetësor me bazë në SHBA dhe kanë synuar një universitet publik në Azinë Juglindore, sipas një raporti nga një firmë sigurie kibernetike e shqyrtuar nga Bloomberg News.
Raporti nuk identifikon asnjë entitet me emër, por thotë se hakerat janë përpjekur të shkelin serverat e SharePoint në vende duke përfshirë Brazilin, Kanadanë, Indonezinë, Spanjën, Afrikën e Jugut, Zvicrën, Mbretërinë e Bashkuar dhe SHBA-në. Firma kërkoi të mos emërohej për shkak të ndjeshmërisë së informacionit.
Kush janë hakerët e identifikuar
Microsoft ka identifikuar grupet e mëposhtme kineze të hakerimit gjatë viteve
Violet Typhoon: Një njësi spiunazhi e përqendruar prej kohësh te zyrtarë të shquar qeveritarë dhe personel ushtarak
Linen Typhoon: Një grup i fshehtë që ka kaluar më shumë se një dekadë duke vjedhur pronë intelektuale
Volt Typhoon: I njohur për synimin e sistemeve të energjisë dhe ujit të SHBA-së, potencialisht për të ndërprerë shërbimet gjatë një lufte të mundshme
Salt Typhoon: I përfshirë në një sulm global hakerimi ndaj firmave të telekomunikacionit, përfshirë nëntë në SHBA.
Silk Typhoon: Një njësi e dyshuar kineze e inteligjencës që ka mbledhur inteligjencë mbi kërkimin për vaksinën Covid-19
Shënim: Firmat e sigurisë kibernetike shpesh emërtojnë grupe hakerimi si pjesë e përpjekjeve të tyre për t’i gjurmuar ato. Microsoft përdor një taksonomi emërtimi për aktorët kërcënues të lidhur me temën e motit.
Hakerët kanë vjedhur kredencialet e hyrjes, duke përfshirë emrat e përdoruesit, fjalëkalimet, kodet dhe tokenët, nga disa sisteme, sipas një personi të njohur me çështjen, i cili kërkoi të mos identifikohej duke qenë se po diskutohet për informacione të ndjeshme.
“Ky është një kërcënim me urgjencë të madhe”, tha Michael Sikorski, drejtor i teknologjisë dhe kreu i inteligjencës së kërcënimeve për Njësinë 42 në Palo Alto Networks Inc.
“Ajo që e bën këtë veçanërisht shqetësuese është integrimi i thellë i SharePoint me platformën e Microsoft, duke përfshirë shërbimet e tyre si Office, Teams, OneDrive dhe Outlook, të cilat kanë të gjithë informacionin e vlefshëm për një hakerues”, tha ai.
Firma kibernetike Eye Security tha se të metat u lejojnë hakerëve të hyjnë në serverat e SharePoint dhe të vjedhin çelësa që mund t’i lejojnë ata të imitojnë përdoruesit ose shërbimet edhe pasi serveri të jetë riparuar. Ajo tha se hakerët mund të ruajnë qasjen përmes dyerve të pasme ose përbërësve të modifikuar që mund t’i mbijetojnë përditësimeve dhe rinisjeve të sistemeve.
Shkeljet kanë tërhequr vëmendje të re ndaj përpjekjeve të Microsoft për të forcuar sigurinë e saj pas një sërë dështimesh të profilit të lartë. Firma ka punësuar drejtues nga vende si qeveria amerikane dhe mban takime javore me drejtues të lartë për ta bërë softuerin e saj më elastik.
Teknologjia e kompanisë i është nënshtruar disa sulmeve kibernetike të përhapura dhe dëmtuese në vitet e fundit, dhe një raport i qeverisë amerikane i vitit 2024 e përshkroi kulturën e sigurisë së kompanisë si nevojë urgjente për reforma.
Eye Security ka zbuluar komprometime në më shumë se 100 servera që përfaqësojnë 60 viktima, duke përfshirë organizata në sektorin e energjisë, firma konsulence dhe universitete. Viktimat ishin gjithashtu të vendosura në Arabinë Saudite, Vietnam, Oman dhe Emiratet e Bashkuara Arabe, sipas kompanisë.
Në fillim të korrikut, Microsoft lëshoi përditësime për të rregulluar boshllëqet e sigurisë, por hakerat gjetën një mënyrë tjetër për të hyrë.
“Kishte mënyra për të anashkaluar përditësimet që u mundësonin hakerave të hynin në serverat e SharePoint duke përdorur dobësi të ngjashme”, tha Vaisha Bernard, ekspert kryesor dhe bashkëpronar i Eye Security.
“Kjo lejoi që këto sulme të ndodhnin.”
Ndërhyrjet, tha ai, nuk ishin të synuara dhe në vend të kësaj kishin për qëllim kompromentimin e sa më shumë viktimave të ishte e mundur.
Ai nuk pranoi të identifikonte identitetin e organizatave që ishin synuar, por tha se ato përfshinin agjenci qeveritare dhe kompani private, duke përfshirë “kompani shumëkombëshe më të mëdha”. Viktimat ndodheshin në vende në Amerikën e Veriut dhe të Jugut, Bashkimin Evropian, Afrikën e Jugut dhe Australi, tha ai.
VINI RE: Ky material është pronësi intelektuale e Bloomberg
Përgatiti për Hashtag.al, Klodian Manjani
