Компания заявила, что китайские «злоумышленники» взломали серверы Microsoft SharePoint и нацелились на данные компаний, использующих это ПО.
Поддерживаемые государством китайские программы Linen Typhoon и Violet Typhoon, а также китайская программа Storm-2603, как сообщается, «эксплуатировали уязвимости» локальных серверов SharePoint, используемых компаниями, но не в облачном сервисе.
В ответ на это американский технологический гигант выпустил обновления безопасности и рекомендовал всем клиентам, использующим локальные серверы SharePoint, установить их.
«Расследования в отношении других злоумышленников, также использующих эти эксплойты, продолжаются», — говорится в заявлении Microsoft.
Компания заявила, что «с высокой степенью уверенности» в том, что хакеры продолжат атаковать системы, на которых не установлены обновления безопасности.
Компания добавила, что будет обновлять блог на своем сайте, публикуя дополнительную информацию по мере продолжения расследования.
Microsoft заявила, что наблюдала атаки, в ходе которых хакеры отправляли запрос на сервер SharePoint, «что позволяло злоумышленникам украсть ключевые данные».
Чарльз Кармакал, главный технический директор консалтинговой компании Mandiant, подразделения Google Cloud, сообщил BBC, что компании «известно о нескольких жертвах в различных секторах в различных регионах мира».
Кармакал заявил, что, по всей видимости, основными целями были государственные учреждения и компании, использующие SharePoint на своих сайтах.
По его словам, ряд злоумышленников, похитивших данные, зашифрованные с помощью криптографии, впоследствии смогли восстановить постоянный доступ к данным SharePoint жертв.
«Эта атака эксплуатировалась очень широко и весьма оппортунистически, ещё до выпуска патча. Именно поэтому это имеет значение», — сказал Кармакал.
Кармакал заявил, что «агент, связанный с Китаем», применяет методы, схожие с теми, которые использовались в предыдущих кампаниях, связанных с Пекином.
Microsoft заявила, что Linen Typhoon на протяжении 13 лет «был сосредоточен на краже интеллектуальной собственности, в основном нападая на организации, связанные с правительством, обороной, стратегическим планированием и правами человека».
Компания добавила, что Violet Typhoon был «специализирован для шпионажа», в основном нападая на бывших правительственных и военных сотрудников, неправительственные организации, аналитические центры, высшие учебные заведения, СМИ, финансовый сектор и сектор здравоохранения в США, Европе и Восточной Азии.
Между тем, Storm-2603 был «со средней степенью уверенности оценен как источник угрозы, базирующийся в Китае».