A támadók olyan sérülékenységeket használtak ki, amik kizárólag a szerverek helyben futó, nem felhőalapú változatát érintették, a Microsoft 365-felhőszolgáltatása viszont nem volt veszélyben. A Microsoft szerint három csoport is részt vett a műveletben: a Linen Typhoon, a Violet Typhoon, valamint a közepes biztonsági bizonyossággal Kínához kötött Storm-2603 nevű szereplő.

A redmondi központú technológiai vállalat hangsúlyozta: „Magas szintű biztonsággal feltételezzük, hogy a hekkerek továbbra is megpróbálják majd kihasználni azokat a rendszereket, amelyekre még nem telepítették a legújabb biztonsági frissítéseket.” Az eset kapcsán a cég biztonsági frissítéseket adott ki, és minden SharePoint szervert üzemeltető vállalat számára azt ajánlja, hogy haladéktalanul telepítsék ezeket a frissítéseket.

Állami hátterű kémkedés és célzott támadások a nyugati szektor ellen

A BBC beszámolója szerint a Mandiant Consulting – a Google Cloud leányvállalata – technológiai igazgatója, Charles Carmakal is megerősítette, hogy több földrajzi régióban, több ágazatot érintően észleltek károsultakat. „Tudunk több áldozatról, akik különféle szektorokból kerültek ki, és különböző kontinenseken működnek. Az eddigi információk alapján legfőképp kormányzati szervek és üzleti szereplők kerültek célkeresztbe, akik a saját rendszereikben használták a SharePoint szoftvert.”

Carmakal szerint a támadások során olyan kriptográfiailag titkosított anyagokat is megszereztek a támadók, melyek birtokában tartós hozzáférést tudtak biztosítani maguknak a rendszerekhez. Kiemelte: „A sebezhetőséget nagyon széles körben, opportunista módon használták ki a folt (patch) megjelenése előtt – ezért is különösen jelentős ez az incidens.”

Értelmiségi, állami és gazdasági struktúrák

A Microsoft belső jelentése szerint a Linen Typhoon 13 éve folytat aktív tevékenységet, és elsősorban szellemi tulajdon ellopására fókuszál, célba véve kormányzati, védelmi, stratégiai tervezéssel foglalkozó, illetve emberi jogi szervezeteket. Ezzel szemben a Violet Typhoon főként kémkedési tevékenységet végez, különösen a korábbi kormányzati és katonai alkalmazottak, nem-kormányzati szervezetek, think tank-ek, egyetemek, médiaintézmények, pénzügyi szervezetek és egészségügyi intézmények ellen – elsősorban az Egyesült Államokban, Európában és Kelet-Ázsiában.

A Storm-2603 csoportot a Microsoft „közepes megbízhatósággal” sorolta a kínai állami érdekeltségű szereplők közé. Ezek a hekkerek olyan támadási módszereket alkalmaztak, amik hasonlóságot mutatnak a pekingi kormányhoz korábban már kapcsolt kampányokkal. A Microsoft a vizsgálat folytatásáról is beszámolt, és jelezte, hogy weboldalán (a hivatalos biztonsági blogján) rendszeresen frissíteni fogja a releváns információkat.