1

غول فناوری آمریکایی مایکروسافت اعلام کرده که آسیب‌پذیری‌هایی در نسخه سازمانی نرم‌افزار SharePoint کشف شده‌اند و توسط هکرهای تحت حمایت دولت چین مورد سوءاستفاده قرار گرفته‌اند. بنا بر اطلاعات رسمی، سه گروه تهدید با نام‌های «Linen Typhoon»، «Violet Typhoon» و «Storm-2603» از این نقص امنیتی برای حمله به سرورهای SharePoint متصل به اینترنت استفاده کرده‌اند.

در بلاگ رسمی مایکروسافت تأکید شده که این آسیب‌پذیری فقط نسخه‌های سازمانی و نصب‌شده محلی از SharePoint را تحت تأثیر قرار می‌دهد و نسخه مبتنی بر فضای ابری یعنی SharePoint Online از این حملات در امان مانده است.

آغاز حملات از ۷ ژوئیه

طبق اعلام مایکروسافت، حملات از تاریخ ۷ ژوئیه آغاز شده‌اند. اولین هشدار نیز توسط شرکت هلندی امنیت سایبری Eye Security اعلام شد. در بررسی‌های اولیه، این شرکت توانست شواهد دیجیتالی متعددی از حملات را شناسایی کرده و ابتدا تعداد نهادهای قربانی را حدود ۱۰۰ مورد اعلام کند. اما داده‌های جدید نشان می‌دهد که این رقم به بیش از ۴۰۰ نهاد رسیده است.

کارشناس ارشد امنیت سایبری Eye Security، خانم «Vaisha Bernard»، تأکید کرده که احتمال می‌رود رقم واقعی بسیار بالاتر باشد، چراکه همه حملات ردپای دیجیتال برجای نمی‌گذارند. او افزود: «چیزی که ما می‌بینیم، فقط نوک کوه یخ است.»

پیامدهای امنیتی برای کاربران SharePoint

خطر گسترش به سایر سرویس‌های مایکروسافت

پلتفرم SharePoint به دلیل قابلیت ذخیره‌سازی اسناد، همکاری سازمانی و یکپارچگی با سایر محصولات مایکروسافت، در بسیاری از سازمان‌ها مورد استفاده قرار می‌گیرد. Eye Security هشدار داده که هرگونه رخنه امنیتی در این سیستم، می‌تواند به سرعت به سرویس‌هایی نظیر Outlook، OneDrive و Teams سرایت کرده و منجر به افشای اطلاعات، سرقت گذرواژه و گسترش تهدیدات در شبکه شود.

توصیه‌های مایکروسافت برای محافظت از سازمان‌ها

مایکروسافت از تمامی کاربران سازمانی SharePoint خواسته تا در اسرع وقت سیستم‌های خود را به‌روزرسانی کرده و اطمینان حاصل کنند که واسط اسکن ضد بدافزار (Antimalware Scanning Interface) به درستی فعال و پیکربندی شده است. این شرکت اعلام کرده که پچ‌های امنیتی موردنیاز منتشر شده‌اند و کاربران باید بدون تأخیر آن‌ها را نصب کنند.

تحلیل فنی حمله: مهاجمان چگونه نفوذ کردند؟

دور زدن احراز هویت و کنترل کامل سیستم

در تحلیلی که منتشر شده، آمده است که هکرها توانسته‌اند با عبور از مکانیزم احراز هویت، کدهای مخرب خود را روی سرورها اجرا کنند. همچنین با دسترسی به کلیدهای رمزنگاری، امکان کنترل بلندمدت بر سیستم‌ها برای آن‌ها فراهم شده است.

Eye Security توصیه کرده که کلیدهای ماشین قبل و بعد از اعمال وصله امنیتی حتماً تعویض شوند تا خطر باقی‌ماندن دسترسی مهاجم کاهش یابد.

هشدارهای نهادهای آمریکایی

آژانس امنیت سایبری و امنیت زیرساخت آمریکا (CISA) نیز به سازمان‌ها توصیه کرده که واسط اسکن ضد بدافزار را به‌درستی پیکربندی کنند و آنتی‌ویروس Microsoft Defender را فعال نگه دارند.

شناسایی گروه‌های مسئول حمله

Linen Typhoon؛ تهدیدی که از ۲۰۱۲ فعال است

مایکروسافت در بیانیه خود اعلام کرده گروه Linen Typhoon از سال ۲۰۱۲ تاکنون، نهادهایی مانند دولت‌ها، صنایع دفاعی، سازمان‌های حقوق بشری و مراکز برنامه‌ریزی استراتژیک را هدف قرار داده است.

Violet Typhoon؛ تمرکز بر دانشگاهیان و رسانه‌ها

این گروه نیز از سال ۲۰۱۵ در حال اجرای عملیات جاسوسی علیه پژوهشگران، سازمان‌های مردم‌نهاد و رسانه‌ها در ایالات متحده، اروپا و آسیا بوده است.

Storm-2603؛ منشأ چینی اما با تردید

گرچه Storm-2603 به چین نسبت داده شده، اما مایکروسافت تنها «با اطمینان متوسط» این ادعا را مطرح کرده و هنوز مدرک قطعی برای ارتباط مستقیم ارائه نکرده است.

گام‌هایی برای محافظت و واکنش

توصیه‌های Eye Security برای سازمان‌های قربانی

به گفته Eye Security، سازمان‌هایی که متوجه نفوذ به SharePoint شده‌اند باید اقدامات زیر را در اولویت قرار دهند:

* خاموش کردن سرورهای آسیب‌دیده
* تغییر همه رمزهای عبور و اطلاعات هویتی احتمالا فاش‌شده
* تماس فوری با یک تیم امنیت سایبری حرفه‌ای

هشدار نهایی: تعلل نکنید!

کارشناسان هشدار داده‌اند که این نوع حملات می‌توانند به‌سرعت گسترش یابند و تبعات سنگینی داشته باشند. به همین دلیل، نصب فوری به‌روزرسانی‌های امنیتی و پایش مداوم سیستم‌ها، حیاتی و ضروری است.