Uma ampla operação de espionagem cibernética tem como alvo a Microsoft. O software do servidor comprometeu cerca de 100 organizações, até o fim de semana, disseram, nesta segunda-feira (21), duas das organizações que ajudaram a descobrir a campanha.
No sábado, a Microsoft emitiu um alerta sobre “ataques ativos” a servidores SharePoint auto hospedados, amplamente utilizados por organizações para compartilhar documentos e colaborar internamente. Instâncias do SharePoint executadas em servidores Microsoft não foram afetadas.
Chamados de “dia zero” por aproveitarem uma fraqueza digital não revelada anteriormente, os ataques permitem que espiões penetrem em servidores vulneráveis e potencialmente abram um backdoor para garantir acesso contínuo às organizações vítimas.
Vaisha Bernard, a hacker chefe da Eye Security, uma empresa de segurança cibernética sediada na Holanda, que descobriu a campanha de hacking visando um de seus clientes na sexta-feira, disse que uma varredura na internet realizada com a Shadowserver Foundation revelou quase 100 vítimas no total – e isso foi antes da técnica por trás do hack ser amplamente conhecida.
“Não há ambiguidade”, disse Bernard. “Quem sabe o que outros adversários fizeram desde então para instalar outras backdoors”.
Ela se recusou a identificar as organizações afetadas, dizendo que as autoridades nacionais relevantes haviam sido notificadas.
A Fundação Shadowserver confirmou o número de 100. Afirmou que a maioria dos afetados estava nos Estados Unidos e na Alemanha, e que entre as vítimas estavam organizações governamentais.
Outro pesquisador disse que, até agora, a espionagem parecia ser obra de um único hacker ou de um grupo de hackers.
“É possível que isso mude rapidamente”, disse Rafe Pilling, diretor de Inteligência de Ameaças da Sophos, uma empresa britânica de segurança cibernética.
A Microsoft disse que “forneceu atualizações de segurança e incentiva os clientes a instalá-las”, disse um porta-voz da empresa em uma declaração por e-mail.
Não ficou claro quem estava por trás do hack em andamento, mas o Alphabet, do Google, que tem visibilidade de grandes áreas do tráfego da internet, disse que vinculou pelo menos alguns dos ataques a um “ator de ameaça com vínculo com a China”.
A Embaixada Chinesa em Washington não respondeu imediatamente a uma mensagem solicitando comentários; Pequim nega rotineiramente realizar operações de hacking.
O FBI afirmou no domingo que estava ciente dos ataques e que estava trabalhando em estreita colaboração com seus parceiros federais e do setor privado, mas não ofereceu mais detalhes. O Centro Nacional de Segurança Cibernética da Grã-Bretanha afirmou em um comunicado que estava ciente de “um número limitado” de alvos no Reino Unido. Um pesquisador que acompanha a campanha disse que ela parecia inicialmente direcionada a um conjunto restrito de organizações governamentais.
O número de alvos potenciais continua vasto. De acordo com dados do Shodan, um mecanismo de busca que ajuda a identificar equipamentos conectados à internet, mais de 8.000 servidores online poderiam, teoricamente, já ter sido comprometidos por hackers. O Shadowserver estimou o número em pouco mais de 9.000, mas alertou que o número era mínimo.
Esses servidores incluem grandes empresas industriais, bancos, auditores, empresas de saúde e diversas entidades governamentais estaduais e internacionais dos EUA.
“O incidente do SharePoint parece ter criado um amplo nível de comprometimento em vários servidores ao redor do mundo”, disse Daniel Card, da consultoria britânica de segurança cibernética PwnDefend.
“É sensato adotar uma abordagem de violação presumida, e também é importante entender que apenas aplicar o patch não é tudo o que é necessário aqui”.
Fonte: Reuters/James Pearson e Raphael Satter
Comente este post