Microsoft обяви, че групи, свързани с Китай, са успели да проникнат в локални сървъри на SharePoint – популярна платформа за корпоративно управление на документи. Макар облачните услуги на Microsoft да не са засегнати, експертите предупреждават, че атаките са насочени към организации с ключово значение и все още не са напълно овладени, пише BBC.
Според официалното съобщение на компанията, три отделни хакерски групи – известни под кодовите имена Linen Typhoon, Violet Typhoon и Storm-2603 – са "използвали слаби места" в локални инсталации на SharePoint, за да получат достъп до чувствителна информация. Това са сървъри, които се намират във вътрешната инфраструктура на компании и институции, за разлика от облачните услуги на Microsoft, които остават защитени.
Американската корпорация вече е разпространила защитни ъпдейти и призовава всички потребители на локални сървъри незабавно да ги инсталират. От Microsoft подчертават, че „има висока степен на увереност“, че хакерските атаки ще продължат да таргетират системи без приложени актуализации.
Microsoft says Chinese state-backed hackers exploited SharePoint flaws to breach global targets including the US nuclear agency. Over 100 servers representing 60 victims hit. “This is a high-severity, high-urgency threat”—find out why experts are sounding the alarm.… pic.twitter.com/yPpvUss2qc
— businessline (@businessline) July 23, 2025
„Разследването продължава, а блогът ни ще бъде обновяван с допълнителна информация“, посочват от компанията. В рамките на наблюдаваните атаки, хакерите са изпращали специално изготвени заявки към уязвими сървъри, които им позволяват да откраднат криптографски ключове – съществени за достъпа до защитени данни.
Чарлз Кармакал, главен технологичен директор в Mandiant Consulting – част от Google Cloud, заяви пред BBC, че са известни случаи на пробив в различни сектори и географски региони. Според него основната цел са правителства и фирми, които използват локално инсталирани SharePoint системи. След успешния пробив, хакерите са могли да запазят достъпа си до мрежите на жертвите, дори след като първоначалният пробив е бил открит.
„Слабите места бяха използвани широко и опортюнистично, още преди да бъде публикувана корекция. Именно това прави инцидента толкова значим“, подчерта Кармакал. Той допълни, че атаките носят характерните белези на предишни кибершпионски кампании, приписвани на Китай.
По данни на Microsoft, Linen Typhoon действа от повече от десетилетие и се фокусира върху кражба на интелектуална собственост, като таргетира организации, свързани с правителството, отбраната, стратегическо планиране и правата на човека. Violet Typhoon, от своя страна, е група с дългогодишен интерес към шпиониране на бивши служители от държавния сектор, неправителствени организации, университети, медии и здравни институции в САЩ, Европа и Източна Азия. Storm-2603, макар да е сравнително по-малко известна, също е идентифицирана като участник в заплахата с „умерена увереност“ за китайски произход.
