Microsoft, Çinli “tehdit aktörleri” tarafından SharePoint doküman yazılımı sunucularının hacklendiğini ve bunun sonucunda işletmelerin verilerinin hedef alındığını duyurdu.
Çin devlet destekli Linen Typhoon ve Violet Typhoon ile Çin merkezli Storm–2603 gruplarının, şirketlerin kullandığı yerel SharePoint sunucularındaki zafiyetlerden faydalandığı bildirildi. Ancak bu saldırılar, Microsoft’un bulut tabanlı hizmetini etkilemedi.
ABD’li teknoloji devi, bu duruma karşı güvenlik güncellemeleri yayımladı ve tüm yerel SharePoint sunucusu kullanıcılarını bu güncellemeleri yüklemeye çağırdı. Microsoft, “Diğer aktörlerin de bu zafiyetleri kullandığına dair soruşturmalar devam ediyor” açıklamasını yaptı.
Microsoft, saldırganların güvenlik güncellemelerini yüklemeyen sistemleri hedef almaya devam etmesinin yüksek olasılık taşıdığını belirtti ve daha fazla bilgi için blogunu güncelleyeceğini duyurdu.
Şirket, hacker’ların SharePoint sunucularına gönderdiği bir istekle “anahtar materyallerin çalındığını” gözlemlediğini açıkladı.
Google Cloud’a bağlı Mandiant Consulting firmasının teknoloji başkanı Charles Carmakal, BBC’ye yaptığı açıklamada, “Birçok farklı sektörde ve coğrafyada pek çok kurbanın olduğunu” belirtti. Carmakal, hükümetler ve SharePoint kullanan şirketlerin başlıca hedef olduğunu ifade etti.
Saldırganların, şifreleme ile korunmuş materyalleri çaldıktan sonra, kurbanların SharePoint verilerine sürekli erişim sağladığını da ekledi.
Carmakal, saldırının “çok geniş bir şekilde, fırsatçı bir şekilde yapıldığını ve bu yüzden önem taşıdığını” söyledi.
Microsoft, Linen Typhoon grubunun “13 yıldır hükümet, savunma, stratejik planlama ve insan haklarıyla ilgili kuruluşları hedef alarak fikri mülkiyet çalmaya odaklandığını” belirtti. Ayrıca Violet Typhoon’un, eski hükümet ve askerî personel, STK’lar, düşünce kuruluşları, yüksek öğrenim, medya, finans ve sağlık sektörlerini hedef alarak casusluk yaptığı ifade edildi.
Storm-2603 ise, Çin merkezli bir tehdit aktörü olarak “orta derecede güvenle” değerlendirildi.
