Microsoft dijo el martes que ha observado que hackers respaldados por Beijing están aprovechando ataques generalizados contra organizaciones que utilizan software de colaboración del gigante tecnológico.
"En el momento de redactar este informe, Microsoft observó que dos actores estatales chinos identificados como Linen Typhoon y Violet Typhoon, están aprovechando estas vulnerabilidades para atacar servidores SharePoint conectados a Internet", dijo la empresa con sede en Redmond, Washington en una entrada de blog publicada el martes.
Añadió que "otro actor malicioso con sede en China, identificado como Storm-2603", fue visto aprovechando vulnerabilidades en su software SharePoint, que se utiliza ampliamente para coordinar el trabajo en proyectos, documentos y otras actividades empresariales.
"Con la rápida adopción de estos exploits, Microsoft considera con gran certeza que los autores de las amenazas seguirán integrándolos en sus ataques contra sistemas SharePoint locales sin parches", añadió Microsoft.
Los exploits incluyen eludir la función de autenticación del programa y ejecutar código remoto "contra servidores SharePoint locales vulnerables", según Microsoft.
La publicación de Microsoft aconsejaba a los clientes que utilizan SharePoint que lo actualizaran con los últimos parches de seguridad para detener los ataques y exploits de los grupos de hackers chinos. También aconsejaba a los usuarios que habilitaran el software de Microsoft, como Defender Antivirus y su interfaz de análisis antimalware o programas equivalentes.
"Otros actores podrían utilizar estos exploits para atacar sistemas SharePoint locales sin parches, lo que refuerza aún más la necesidad de que las organizaciones implementen medidas de mitigación y actualizaciones de seguridad de inmediato", dijo la empresa.
Según Microsoft, Linen Typhoon está acusado de robar propiedad intelectual y se centra en organizaciones relacionadas con los derechos humanos, los gobiernos, la defensa y la planificación estratégica.
Violet Typhoon se ha centrado más en explotar sistemas relacionados con antiguos funcionarios gubernamentales y militares, organizaciones no gubernamentales, universidades y centros de enseñanza superior, medios de comunicación impresos y digitales y grupos de expertos, entre otros sectores.
En marzo, el Departamento de Justicia (DOJ) acusó a dos ciudadanos chinos de operar en el grupo de hackers APT27 o Linen Typhoon, que según los investigadores tiene muchos nombres diferentes.
Según el DOJ, los dos ciudadanos habrían pirateado empresas, municipios y otras instituciones estadounidenses con fines lucrativos y causado daños por valor de millones de dólares.
La publicación de Microsoft del martes no dio más detalles sobre los tipos o nombres de las organizaciones que fueron objeto de los ataques a través de la vulnerabilidad de SharePoint.
El sábado, la empresa envió una alerta sobre "ataques activos" a servidores SharePoint autohospedados y también publicó una solución de emergencia para cerrar la vulnerabilidad, a la que calificó de "exploit de día cero" porque aprovecha una debilidad digital no revelada anteriormente. Las instancias de SharePoint que se ejecutan en servidores de Microsoft no se vieron afectadas, según la empresa.
La Agencia de Seguridad Cibernética y de Infraestructuras advirtió que el impacto podría ser generalizado e indicó que los servidores afectados por la vulnerabilidad deben desconectarse de Internet antes de aplicar cualquier actualización. Por su parte, empresas de investigación privadas afirmaron que la vulnerabilidad puede dar lugar a graves brechas de seguridad.
"Una vez dentro, pueden acceder a todo el contenido de SharePoint, los archivos del sistema y las configuraciones y moverse lateralmente por el dominio de Windows", afirmó la empresa de investigación Eye Security, con sede en los Países Bajos, en una nota de investigación sobre los ataques.
Añadió que "dado que SharePoint suele conectarse a servicios básicos como Outlook, Teams y OneDrive, una brecha puede dar lugar rápidamente al robo de datos, la recopilación de contraseñas y el movimiento lateral por la red".
Con información de Reuters.
Únase a nuestro canal de Telegram para recibir las últimas noticias al instante haciendo clic aquí
