Cybersecurity-experts van Microsoft hebben bevestigd dat Chinese, door de staat gesteunde hackers verantwoordelijk zijn voor een reeks aanvallen op SharePoint-servers. De aanvallers maakten gebruik van een recent ontdekte, ernstige kwetsbaarheid, waardoor honderden bedrijven en overheidsinstanties wereldwijd risico liepen. Drie specifieke en bekende spionagegroepen zijn geïdentificeerd als de hoofdrolspelers.
Sinds de ontdekking van de zero-day-kwetsbaarheid in SharePoint wordt deze actief misbruikt om gerichte aanvallen uit te voeren op bedrijven en overheidsinstanties over de hele wereld. Microsoft-experts hebben nu drie hackergroepen geïdentificeerd die naar verluidt gelinkt zijn aan en gesteund worden door de Chinese overheid:
“Microsoft heeft vastgesteld dat twee door China gesteunde statelijke actoren, Linen Typhoon en Violet Typhoon, deze kwetsbaarheden misbruiken om zich te richten op SharePoint-servers die via het internet toegankelijk zijn. Daarnaast hebben we een andere dreiging vanuit China, aangeduid als Storm-2603, gezien die dezelfde kwetsbaarheden gebruikt om ransomware te verspreiden.”
De drie groepen hanteren vergelijkbare tactieken: ze proberen misbruik te maken van de kwetsbaarheid door kwaadaardige bestanden te uploaden naar blootgestelde servers en inloggegevens te stelen. Bekende slachtoffers zijn onder andere de US National Nuclear Security Administration (NNSA), het Amerikaanse ministerie van Onderwijs en andere overheidsinstanties wereldwijd.
Hoewel deze drie groepen momenteel het actiefst zijn, zijn ze niet de enigen die proberen de SharePoint-kwetsbaarheid uit te buiten. Tientallen servers blijven kwetsbaar, en daarom dringt Microsoft erop aan om beveiligingspatches onmiddellijk te installeren zodra deze beschikbaar zijn.
