Η Microsoft έχει ξεκινήσει έρευνα για το κατά πόσο μια παραβίαση εντός του Microsoft Active Protections Program (MAPP) διευκόλυνε Κινέζους κυβερνοεγκληματίες που υποστηρίζονται από το κράτος στην εκμετάλλευση κρίσιμων τρωτών σημείων του SharePoint. Αυτή η φερόμενη εκμετάλλευση φέρεται να συνέβη πριν εφαρμοστούν ευρέως ολοκληρωμένες ενημερώσεις ασφαλείας, σύμφωνα με άτομα που γνωρίζουν την κατάσταση.
Αυτή η έρευνα ακολουθεί μια σειρά εκτεταμένων κυβερνοκατασκοπικών επιθέσεων που έχουν διεισδύσει σε πάνω από 400 οργανισμούς παγκοσμίως, μεταξύ των οποίων και την Εθνική Υπηρεσία Πυρηνικής Ασφάλειας των ΗΠΑ. Η ακριβής χρονολογική σειρά αυτών των διεισδύσεων έχει προκαλέσει σημαντική ανησυχία στους επαγγελματίες κυβερνοασφάλειας. Ο Βιετναμέζος ερευνητής Dinh Ho Anh Khoa αποκάλυψε αρχικά τα τρωτά σημεία του SharePoint τον Μάιο στη διάσκεψη κυβερνοασφάλειας Pwn2Own στο Βερολίνο, μια ανακάλυψη για την οποία του απονεμήθηκαν 100.000 δολάρια.
Ενώ η Microsoft κυκλοφόρησε αρχικές ενημερώσεις τον Ιούλιο, οι συνεργάτες του MAPP είχαν λάβει προηγούμενη ειδοποίηση για τα τρωτά σημεία στις 24 Ιουνίου, 3 Ιουλίου και 7 Ιουλίου. Σημαντικά, η Microsoft ανίχνευσε τις αρχικές προσπάθειες εκμετάλλευσης στις 7 Ιουλίου, συμπίπτοντας ακριβώς με το τελευταίο κύμα ειδοποιήσεων MAPP. Ο Dustin Childs, επικεφαλής της επίγνωσης απειλών στην Zero Day Initiative της Trend Micro — μια εταιρεία μέλος του MAPP — δήλωσε: «Το πιθανότερο σενάριο είναι ότι κάποιος στο πρόγραμμα MAPP χρησιμοποίησε αυτές τις πληροφορίες για να δημιουργήσει τις εκμεταλλεύσεις».
Ονομάστηκε «ToolShell» από τους ερευνητές, η εξελιγμένη αλυσίδα επίθεσης επιτρέπει στους χάκερ να παρακάμψουν τους ελέγχους ταυτότητας και να εκτελέσουν κακόβουλο κώδικα σε διακομιστές SharePoint. Μια ιδιαίτερα επικίνδυνη πτυχή αυτής της ευπάθειας είναι η ικανότητά της για τους επιτιθέμενους να εξάγουν κρυπτογραφικά κλειδιά μηχανών, επιτρέποντάς τους έτσι να διατηρούν συνεχή πρόσβαση ακόμη και μετά την εφαρμογή των ενημερώσεων συστήματος.
Ευρεία Παγκόσμια Επίπτωση
Αυτή η εκστρατεία κυβερνοεπίθεσης έχει επηρεάσει οργανισμούς σε πολλούς τομείς, με τη Microsoft να συνδέει τις παραβιάσεις με τρεις κινεζικές ομάδες hacking: Linen Typhoon, Violet Typhoon και Storm-2603.
Η Εθνική Υπηρεσία Πυρηνικής Ασφάλειας (NNSA), υπεύθυνη για τον σχεδιασμό και τη συντήρηση του πυρηνικού οπλοστασίου της Αμερικής, αναγνωρίστηκε ως θύμα υψηλού προφίλ. Ωστόσο, οι αξιωματούχοι έχουν δηλώσει ότι δεν διακυβεύτηκαν διαβαθμισμένες πληροφορίες. Ένας εκπρόσωπος του Υπουργείου Ενέργειας επιβεβαίωσε ότι την Παρασκευή, 18 Ιουλίου, το Υπουργείο Ενέργειας, συμπεριλαμβανομένης της NNSA, άρχισε να αντιμετωπίζει επιπτώσεις από την εκμετάλλευση ενός τρωτού σημείου zero-day του Microsoft SharePoint. Η υπηρεσία ανέφερε ότι επηρεάστηκε «ελάχιστα», αποδίδοντας αυτό στην εκτεταμένη εξάρτησή της από τις υπηρεσίες cloud της Microsoft.
Η Eye Security, η εταιρεία κυβερνοασφάλειας στην οποία αποδίδεται η αρχική ανίχνευση αυτών των επιθέσεων, κατέγραψε πάνω από 400 συστήματα που παραβιάστηκαν ενεργά σε τέσσερα διαφορετικά κύματα εκμετάλλευσης. Τα θύματα περιλαμβάνουν κυβερνητικούς φορείς, εκπαιδευτικά ιδρύματα, ενεργειακές εταιρείες και ιδιωτικές εταιρείες, με γεωγραφική εμβέλεια που εκτείνεται από τη Βόρεια Αμερική στην Ευρώπη και την Ασία.
Αυτό το περιστατικό δεν είναι η πρώτη φορά που παραβιάζεται το πρόγραμμα MAPP. Το 2012, η Microsoft τερμάτισε τη συμμετοχή της κινεζικής εταιρείας Hangzhou DPtech Technologies Co. λόγω παραβίασης συμφωνίας μη αποκάλυψης, συγκεκριμένα για τη διαρροή κώδικα proof-of-concept που σχετίζεται με μια ευπάθεια των Windows. Πιο πρόσφατα, η Qihoo 360 Technology Co. απομακρύνθηκε παρομοίως από το πρόγραμμα μετά τον χαρακτηρισμό της στη λίστα U.S. Entity List.
Σύμφωνα με το Bloomberg, τουλάχιστον δώδεκα κινεζικές εταιρείες συμμετέχουν επί του παρόντος στο πρόγραμμα MAPP, το οποίο λειτουργεί εδώ και 17 χρόνια. Αυτή η πρωτοβουλία παρέχει στους προμηθευτές κυβερνοασφάλειας έγκαιρη ειδοποίηση για ευπάθειες, συνήθως 24 ώρες πριν από τη δημόσια αποκάλυψη, αν και ορισμένοι έμπιστοι συνεργάτες λαμβάνουν πληροφορίες έως και πέντε ημέρες νωρίτερα.
Εκπρόσωπος της Microsoft επιβεβαίωσε ότι η εταιρεία θα «εξετάσει αυτό το περιστατικό, θα βρει τομείς προς βελτίωση και θα εφαρμόσει αυτές τις βελτιώσεις ευρέως» ως μέρος της τυπικής επιχειρησιακής της διαδικασίας. Ο εκπρόσωπος υπογράμμισε επιπλέον ότι τα προγράμματα συνεργατών εξακολουθούν να αποτελούν «σημαντικό μέρος της απόκρισης ασφαλείας της εταιρείας».
Η Κινεζική Πρεσβεία στην Ουάσιγκτον αρνήθηκε οποιαδήποτε ανάμειξη στις επιθέσεις. Ο εκπρόσωπος του Υπουργείου Εξωτερικών Guo Jiakun δήλωσε ότι «η Κίνα αντιτίθεται και καταπολεμά τις δραστηριότητες hacking σύμφωνα με το νόμο», ενώ ταυτόχρονα καταδίκασε «συκοφαντίες και επιθέσεις κατά της Κίνας με το πρόσχημα θεμάτων κυβερνοασφάλειας».
Η συνεχιζόμενη έρευνα υπογραμμίζει την επισφαλή ισορροπία που πρέπει να διατηρήσει η Microsoft: να μοιράζεται κρίσιμες πληροφορίες ευπάθειας με συνεργάτες ασφαλείας, ενώ ταυτόχρονα να αποτρέπει κακόβουλους παράγοντες από το να εκμεταλλεύονται τέτοιες προηγμένες γνώσεις για να επιταχύνουν τις επιθέσεις. Μια επιβεβαιωμένη διαρροή θα επέφερε αναμφίβολα ένα σημαντικό πλήγμα στην αξιοπιστία και τη συνολική αποτελεσματικότητα του προγράμματος MAPP.
Καθώς η έρευνα συνεχίζεται, οι ειδικοί κυβερνοασφάλειας προειδοποιούν ότι η ταχεία οπλοποίηση αυτών των ευπαθειών — εξελισσόμενη από την ανακάλυψη σε μαζική εκμετάλλευση σε μόλις δύο μήνες — χρησιμεύει ως σαφής απόδειξη της εξελισσόμενης πολυπλοκότητας και του επιταχυνόμενου ρυθμού των σύγχρονων κυβερνοαπειλών.