微软在北京的办公室。该公司表示,与中国政府有联系的黑客组织一直在利用其SharePoint软件中的安全漏洞发动攻击。 Tingshu Wang/Reuters微软表示,由中国政府支持的黑客正在利用其广受欢迎的协作软件产品SharePoint中的漏洞,美国政府机构和全球众多公司都是该产品的用户。微软周二在其安全博客上发布公告称,该公司已确认至少两个与中国政府有关联的中国境内黑客组织在利用SharePoint软件的安全漏洞。此类攻击旨在潜入用户的计算机系统。
微软表示多年来一直在追踪这两个名为“亚麻台风”和“紫罗兰台风”的黑客组织,这些组织一直将美国、欧洲和东亚与政府、国防、人权、高等教育、媒体以及金融和医疗服务相关的组织和人员作为目标对象。
微软还指出,另一个名为“风暴2603”的黑客组织也参与了攻击行动,并“基本确认”该组织也是“来自中国的威胁行为者”。
网络安全和基础设施安全局发布公告称已知晓此次攻击,并通知受影响的关键基础设施组织。
该机构表示,“虽然攻击的范围和影响仍在评估中”,但这些漏洞将使“恶意行动者能够完全访问SharePoint内容,包括文件系统和内部配置,并能够通过网络执行代码”。
微软发言人透过邮件回应,公司正与网络安全和基础设施安全局、国防部网络防御司令部及全球主要网络安全伙伴“保持密切协调”。
中国驻美大使馆未立即回应置评请求。中国政府一贯否认参与网络攻击,并坚称自己是受害者。
微软在其博客文章中表示,针对其他也在利用这些漏洞的行为者的调查仍在进行中。
网络安全公司Eye Security表示已对全球超2.3万个SharePoint服务器进行扫描,发现超过400个系统已被攻陷。
该网络安全公司同时警告,漏洞可能导致黑客窃取密钥,即使在服务器安装补丁后,攻击者仍能借此冒充用户或服务。用户需采取额外防护措施来保障信息安全。
澳大利亚战略政策研究所网络安全项目主任詹姆斯·科雷拉指出,部署后门实现长期访问“是一种通常只有最尖端的行为者才具备的高水平手法”。
他表示,虽然尚无公开证据表明中国黑客窃取了这些密钥,但很明显,中国的国家支持行动近年来变得越来越精准。
科雷拉在书面答复中写道:“中国国家支持的网络攻击者已经从寻机而动稳步演变为纪律严明的行动者。我们现在看到他们在初始访问、横向移动和凭证窃取等方面展现出的复杂的技术水平,超出了许多政府和供应商的预期。”
事实上,美国官员对中国的黑客能力越来越感到警惕。国会议员表示,在去年对美国电信系统的一次入侵中,一个与中国情报机构相关的团体甚至能窃听电话和阅读短信。那次黑客攻击被认为极其严重,以至于前总统拜登在去年11月于秘鲁会见中国领导人习近平时,直接进行了交涉。
本次漏洞由越南安全公司Viettel的一名研究员在5月柏林Pwn2Own安全会议上发现,5月16日,该研究员为此获得10万美元奖金。
根据追踪安全漏洞并主办此次安全会议的机构Zero Day Initiative的说法,漏洞详情于5月29日提交给了微软。
微软表示,自7月7日以来,它注意到黑客一直在试图利用这些漏洞来访问“目标组织”。该公司第二天发布了安全更新,作为其每月安全补丁的一部分,并敦促用户立即安装。
但补丁仅部分解决问题。微软7月19日表示已监测到有试图利用这些漏洞的行为,随后发布补丁更新和防护指南,称按指南操作可“完全保护客户”。
多家网络安全公司早在微软周二公告前就认定这些攻击行为来自中国黑客。
SharePoint帮助机构创建网站和管理文档,与Office、Teams和Outlook等其他微软服务深度集成。
微软表示,这些漏洞仅影响本地SharePoint服务器,也就是那些由使用机构在自己的计算机网络上管理的服务器,不包括在微软云上运行的服务器。
网络安全公司Palo Alto Networks在一篇关于此漏洞的帖子中表示,本地服务器,“特别是政府、学校、医疗保健机构(包括医院)和大型企业的本地服务器”面临“直接风险”。
这家网络安全公司表示:“在这种情况下,一旦系统被攻破,问题就不会止步于此,而是会打开通往整个网络的大门。”
