Un’operazione di spionaggio informatico per il software Microsoft Server ha compromesso circa 100 diverse organizzazioni durante il fine settimana.
Due delle organizzazioni che hanno contribuito a scoprire l’attacco hanno annunciato le loro scoperte lunedì.
Sabato, Microsoft ha emesso un avviso su “attacchi attivi” sui server di SharePoint autosufficiente, che sono ampiamente utilizzati dalle organizzazioni per condividere documenti e collaborare all’interno di altri. Le istanze di SharePoint eseguite dai server Microsoft non sono rimaste interessate.
Soprannominato un “zero-day” perché sfrutta una debolezza digitale precedentemente non divulgata, gli hack consentono alle spie di penetrare nei server vulnerabili e potenzialmente far cadere una backdoor per garantire l’accesso continuo alle organizzazioni delle vittime.
Vaisha Bernard, la capo hacker di Eye Security, una società di sicurezza informatica olandese che ha scoperto la campagna di hacking che mirava a uno dei suoi clienti venerdì, ha affermato che una scansione di Internet condotta con la Fondazione Shadowserver ha scoperto del tutto quasi 100 vittime-e che era prima che la tecnica dietro l’hack era ampiamente conosciuta.
“È inequivocabile”, ha detto Bernard. “Chissà cosa hanno fatto altri avversari da allora per collocare altri backdoor.”
Ha rifiutato di identificare le organizzazioni colpite, affermando che le autorità nazionali pertinenti erano state informate.
La Fondazione Shadowerver ha confermato la figura dei 100 e ha affermato che la maggior parte delle persone colpite erano negli Stati Uniti e in Germania e che le vittime includevano organizzazioni governative.
Un altro ricercatore ha affermato che, finora, lo spionaggio sembrava essere il lavoro di un singolo hacker o set di hacker.
“È possibile che ciò cambi rapidamente”, ha dichiarato Rafe Pilling, direttore dell’intelligence sulle minacce di Sophos, una società di sicurezza informatica britannica.
Un portavoce di Microsoft ha dichiarato in una dichiarazione via e -mail di aver “fornito aggiornamenti di sicurezza e incoraggia i clienti a installarli”.
Non era chiaro chi fosse dietro l’hack in corso. L’FBI ha detto domenica che era a conoscenza degli attacchi e stava lavorando a stretto contatto con i suoi partner del settore federale e privato, ma non ha offerto altri dettagli. Il National Cyber Security Center britannico ha dichiarato in una dichiarazione che era a conoscenza di “un numero limitato” di obiettivi nel Regno Unito. Un ricercatore che monitora gli hack ha affermato che la campagna è apparsa inizialmente rivolta a una serie ristretta di organizzazioni legate al governo.
Potenziali obiettivi
Il pool di potenziali obiettivi rimane vasto. Secondo i dati di Shodan, un motore di ricerca che aiuta a identificare le apparecchiature collegate a Internet, oltre 8.000 server online potrebbero teoricamente essere già stati compromessi dagli hacker.
Tali server includono importanti aziende industriali, banche, revisori, società sanitarie e diverse entità governative a livello statale e internazionale degli Stati Uniti.
“L’incidente di SharePoint sembra aver creato un ampio livello di compromesso in una serie di server a livello globale”, ha affermato Daniel Card di British Cybersecurity Consultancy, PWNDEFend.
“Adottare un approccio di violazione ipotizzato è saggio, ed è anche importante capire che solo l’applicazione della patch non è tutto ciò che è richiesto qui.”
A Wall Street, le azioni di Microsoft sono anche con il mercato aperto alle 15:00 a New York (19:00 GMT), in aumento solo dello 0,06 per cento, ed è aumentato di oltre l’1,5 per cento negli ultimi cinque giorni di negoziazione.
