A Microsoft afirmou que o ataque hacker que impactou o SharePoint, software de gerenciamento de documentos da companhia, está atrelado a hackers apoiados pelo estado chinês.
Conforme reporta o CISO Advisor, foram apontados como responsáveis os grupos Linen Typhoon, Violet Typhoon e Storm-2603.
Segundo a companhia, eles teriam atingido o Sharepoint da agência americana responsável por projetar armas nucleares, além do Departamento de Educação dos Estados Unidos, o Departamento de Receita da Flórida e a Assembleia de Rhode Island.
Além disso, teriam tentado violar servidores no Brasil, Canadá, Indonésia, Espanha, África do Sul, Suíça e Reino Unido.
O número de empresas afetas segue crescendo, mas a apuração revela que nenhuma informação sensível ou sigilosa foi comprometida.
Nos ataques, os agentes enviam uma solicitação POST, carregando um script malicioso chamado spinstall0.aspx, que contém comandos para recuperar dados da MachineKey e retornar os resultados ao usuário por meio de uma solicitação que permite o roubo do material da chave.
Os criminosos modificaram o nome do arquivo de diversas maneiras, como spinstall.aspx , spinstall1.aspx e spinstall2.aspx.
CONTEXTO
A Microsoft revelou nesta semana que o SharePoint foi comprometido por hackers que estão ativamente atacando os usuários da solução.
Originalmente, o problema foi identificado por pesquisadores da Eye Security, que rastrearam mais de 50 violações.
De acordo com a Agência de Segurança Cibernética e de Infraestrutura dos Estados Unidos (CISA), os criminosos encontraram uma brecha no software que possibilitou que acessassem arquivos e executassem códigos.
Essas falhas permitiram que os criminosos roubassem chaves dos usuários e as usassem mesmo após a aplicação de patches, mantendo o acesso por meio de backdoors ou componentes modificados que sobrevivem a atualizações e reinicializações do sistema.
A suspeita é de que milhares de empresas foram afetadas globalmente, a maior parte nos Estados Unidos, além de Holanda, Reino Unido e Canadá.
Conforme aponta a companhia, os hackers estão concentrados em clientes que operam os serviços do SharePoint em suas redes locais.
