Começam a chegar os primeiros resultados da investigação aos ciberataques ocorridos no último fim-de-semana aos servidores SharePoint da Microsoft, afetando organizações a nível global. Embora não tenha afetado o SharePoint Online da Microsoft, localizado na cloud, todos os servidores físicos foram afetados. Isso significa que qualquer organização privada ou governamental ligada a estes servidores está em perigo devido à vulnerabilidade zero-day, caso não proceda às atualizações de emergência que a Microsoft prontamente disponibilizou. 

Já se sabia que foram afetadas diretamente 100 organizações no dia do ciberataque, localizadas sobretudo nos Estados Unidos e Alemanha. No entanto, os investigadores acreditam que milhares de entidades estejam potencialmente vulneráveis a possíveis ataques, mesmo que tenham procedido às atualizações

A Microsoft partilhou agora os resultados da sua investigação sobre os ataques, apontando a grupos chineses financiados pelo governo de Pequim. No seu blog, a gigante tecnológica diz que “observou dois atores chineses, a Linen Typhoon e a Violet Typhoon a explorar estas vulnerabilidades, mirando os servidores SharePoint”. Salienta ainda um terceiro grupo chinês, conhecido como Storm-2603, igualmente a explorar as vulnerabilidades dos seus servidores. Mas acrescenta que continuam a ser investigados outros atores que aproveitaram as falhas. 

Ataque a servidores da Microsoft afetou 100 organizações sobretudo nos Estados Unidos e Alemanha
Ataque a servidores da Microsoft afetou 100 organizações sobretudo nos Estados Unidos e Alemanha
Ver artigo

Traçando o perfil dos grupos de hackers, a Microsoft diz que desde 2012 que a Linen Typhoon se focou em roubar propriedade intelectual, mirando sobretudo organizações ligadas ao governo, defesa, planeamento estratégico e direitos humanos. A Violet Typhoon opera desde 2015 como um grupo dedicado a espionagem, acedendo primariamente a ex-funcionários militares ou do governo, ONGs, educação superior, imprensa digital e impressa, sectores das finanças e saúde localizados nos Estados Unidos, Europa e Ásia ocidental. Por fim o grupo Storm-2603 foi associado a ataques de ransomware através de Warlock e Lockbit. 

Além de ter identificado os primeiros grupos de hackers, a Microsoft deixa o alerta de que estas vulnerabilidades vão continuar a ser exploradas nos servidores SharePoint que não forem atualizados com as correções. A empresa recomenda os seus clientes a usar versões suportadas com as mais recentes atualizações de segurança. “Para impedir os ataques que explorar esta vulnerabilidade, os clientes devem ainda integrar e ligar o Antimalware Scan Interface (AMSI) e o Microsoft Defender Antivirus ou soluções equivalentes em todos os servidores físicos SharePoint. 

Este ataque zero-day, em que os hackers exploraram uma vulnerabilidade que ainda não era conhecida anteriormente, é referido pelos analistas como perigoso mesmo depois de corrigido, uma vez que podem ter deixado potencialmente uma entrada de fundo para acesso contínuo às organizações atingidas. O acesso a estes servidores, muitas vezes ligados a emails do Outlook, Teams e outros serviços, permite o roubo de dados sensíveis, assim como palavras-passe.  

Microsoft alerta para ataques ativos a software de servidores utilizados por agências do governo e empresas
Microsoft alerta para ataques ativos a software de servidores utilizados por agências do governo e empresas
Ver artigo

Das 100 organizações afetadas, das quais não foram revelados nomes, sabe-se que afetou pelo menos duas agências governamentais dos Estados Unidos, assim como universidades, empresas de energia e de telecomunicações asiáticas. Em declarações à BBC, Charles Carmakal, CTO da Mandiant Consulting, diz que as vítimas pertencem a vários sectores em diferentes geografias globais. Aponta que alguns dos hackers que roubaram material codificado por encriptação conseguiram voltar a ter acesso aos servidores SharePoint das vítimas. “Isto foi explorado de forma muito ampla e oportunista, antes de ter sido disponibilizada a atualização, daí a importância”, refere o analista.