Google dhe Microsoft thonë se hakerët kinezë po shfrytëzojnë një dobësi zero-ditore në SharePoint
Studiuesit e sigurisë në Google dhe Microsoft thonë se kanë prova se hakerat e mbështetur nga Kina po shfrytëzojnë një gabim zero-day në Microsoft SharePoint, ndërsa kompanitë në të gjithë botën përpiqen të rregullojnë të metën.
Gabimi, i njohur zyrtarisht si CVE-2025-53770 dhe i zbuluar fundjavën e kaluar, u lejon hakerëve të vjedhin çelësa privatë të ndjeshëm nga versionet e vetë-strehuara të SharePoint, një server softuerësh i përdorur gjerësisht nga kompanitë dhe organizatat për të ruajtur dhe ndarë dokumente të brendshme. Pasi të shfrytëzohet, një sulmues mund ta përdorë gabimin për të mbjellë nga distanca programe keqdashëse dhe për të fituar akses në skedarët dhe të dhënat e ruajtura brenda, si dhe për të fituar akses në sisteme të tjera në të njëjtin rrjet.
Në një postim në blog të martën, Microsoft tha se kishte vërejtur të paktën dy grupe hakerash të mbështetura nga Kina të identifikuara më parë, të cilat i quan “Linen Typhoon” dhe “Violet Typhoon”, të cilat shfrytëzonin sistemin zero-day të SharePoint. Microsoft thotë se Linen Typhoon është i përqendruar në vjedhjen e pronës intelektuale, ndërsa Violet Typhoon vjedh informacione private që do të përdoren për spiunazh.
Microsoft gjithashtu ia atribuoi sulmet e vazhdueshme një grupi të tretë hakerash të mbështetur nga Kina, të cilin e quajti “Storm-2603”, që përfaqëson një grup hakerash për të cilin kompania ka më pak informacion. Megjithatë, kompania vuri në dukje se hakerat janë lidhur me sulme ransomware në të kaluarën.
Sipas Microsoft, tre grupet e hakerave u vunë re duke shfrytëzuar dobësinë zero-day për të depërtuar në serverat e prekshëm të SharePoint që nga 7 korriku.
Charles Carmakal, drejtori i teknologjisë në njësinë e reagimit ndaj incidenteve të Google, Mandiant, i tha TechCrunch në një email se “të paktën një nga aktorët përgjegjës” ishte një grup hakerash me lidhje me Kinën, por vuri në dukje se “aktorë të shumtë tani po e shfrytëzojnë në mënyrë aktive këtë dobësi”.
Dhjetëra organizata janë sulmuar tashmë nga hakerët, përfshirë sektorin qeveritar. Gabimi konsiderohet si një gabim zero-day sepse shitësi – Microsoft, në këtë rast – nuk kishte kohë të lëshonte një patch përpara se të shfrytëzohej në mënyrë aktive. Që atëherë, Microsoft ka publikuar patch-e për të gjitha versionet e prekura të SharePoint, por studiuesit e sigurisë kanë paralajmëruar se klientët që përdorin versione të vetë-strehuara të SharePoint duhet të supozojnë se janë kompromentuar tashmë.
Qeveria kineze ka kohë që i ka hedhur poshtë akuzat se ka kryer sulme kibernetike, megjithëse nuk e ka mohuar gjithmonë në mënyrë të qartë përfshirjen e saj.
Kur u kontaktua për koment, Liu Pengyu, një zëdhënës i Ambasadës Kineze në Uashington, DC, tha në një deklaratë se Kina “kundërshton dhe lufton me vendosmëri të gjitha format e sulmeve kibernetike dhe krimit kibernetik – një qëndrim i qëndrueshëm dhe i qartë”.
Kjo është fushata më e fundit e hakerimit e lidhur me Kinën në vitet e fundit. Hakerët e mbështetur nga Kina u akuzuan për shënjestrimin e serverëve të email-it të Microsoft Exchange të vetë-strehuar në vitin 2021, si pjesë e një fushate masive hakerimi. Sipas një aktakuze të kohëve të fundit të Departamentit të Drejtësisë që akuzon dy hakerë kinezë për organizimin e shkeljeve, të ashtuquajturat hakera “Hafnium” kompromentuan informacionin e kontaktit dhe kutitë postare private nga më shumë se 60,000 serverë të prekur.