据金融时报和彭博报道,微软指控中国政府支持的黑客组织利用SharePoint文件管理软件漏洞,攻击大型企业和政府机构用户。知情人士透露,美国负责维护和设计国家核武器储备的机构也被入侵。
微软头周二表示,中国的两个组织,Linen Typhoon和Violet Typhoon,利用了所谓的“伪造漏洞”攻击微软客户使用的服务器。另一个总部位于中国的黑客组织Storm-2603也利用了这些漏洞。
微软表示,这些所谓的“零日”漏洞只影响使用本地服务器的客户,不影响使用其云端服务的客户。微软说已经发布了“新的全面安全更新”。
微软在一份声明中表示:“关于其他黑客组织是否也在使用这些漏洞,调查仍在进行中。由于这些漏洞被迅速利用,微软高度确信相关威胁行为者将继续将其纳入攻击工具。”
知情人士表示,目前尚无证据表明国家核安全管理局的敏感或机密信息在这次攻击中遭到泄露。国家核安全管理局是能源部下属的一个半自主机构,负责制造和拆解核武器。能源部的其他部门也遭到入侵。
一名能源部发言人在邮件中表示:“7月18日星期五,微软SharePoint一个零日漏洞开始对能源部造成影响。由于能源部广泛使用微软的M365云系统和强大的网络安全系统,受到的影响非常小。只有极少数系统受到影响,所有受影响系统正在恢复中。”
国家核安全管理局职责广泛,包括为海军潜艇提供核反应堆、应对放射性紧急事件等任务。这个机构还在反恐和核武器全国运输方面发挥关键作用。
早在2020年,黑客曾通过对SolarWinds公司一款被广泛使用的软件的攻击,入侵了这个机构。当时一名能源部发言人表示,恶意软件“仅限于业务网络”。
微软将此次攻击归咎于中国政府支持的黑客,这些黑客利用微软常用的SharePoint文件管理软件漏洞,发动了全球范围内针对政府、企业和其他组织的攻击。彭博社早些时候报道,在某些情况下,黑客还窃取了登录凭据,包括用户名、密码、哈希码和令牌。
除了能源部,黑客还侵入了欧洲和中东一些国家政府机构、美国教育部、佛罗里达州税务局以及罗得岛州议会的系统。
美国政府称中国网络攻击行动愈发激进。此前美国电信公司面临名为“Salt Typhoon”的持续性黑客攻击行动,黑客可借此监听美国境内的电话通话。
前中情局中国问题专家丹尼斯·怀尔德表示:“中国政府支持的黑客日益大胆,因为中国国家安全部被赋予了更激进的间谍活动任务,针对美国及其他西方国家。由于西方国家至今找不到让中国政府为这些行为付出代价的方式,北京几乎没有理由收手,因为情报收益巨大。”
此次漏洞相关的信息在周日披露,当时微软发布了补丁并表示在持续推出其他修复措施,因为黑客利用漏洞针对客户展开攻击。
《华盛顿邮报》此前报道,美国联邦和州政府机构、大学及能源公司都受到此次SharePoint攻击的影响。《彭博社》报道指出,欧洲和中东的国家政府也受到波及。
微软作为美国联邦政府的重要承包商,近年来曾多次成为重大网络攻击的目标。2023年,微软的电子邮件服务Microsoft Exchange Online遭到入侵,美国议员成为中国政府支持的黑客组织Storm-0558的攻击目标。
总部位于荷兰的网络安全公司Eye Security上周首次发现SharePoint被利用。公司表示,已经确认数十个系统被攻破,攻击者正在进行“有组织的大规模攻击行动”。他们发现的受害者分布在沙特阿拉伯、越南、阿曼和阿联酋。
根据美国网络安全公司CrowdStrike的数据,自漏洞上周被传播后,攻击活动显著增加。
截至2020年12月,SharePoint拥有超过2亿用户,但使用本地服务器的用户数量可能远远低于这个数字。
美国网络安全审查委员会曾是向国土安全部长汇报的独立审查机构,现已解散。委员会去年曾批评微软的企业运作方式“忽视了企业安全投入和严格的风险管理”,并呼吁对公司文化进行彻底改革。
最近几周,微软也面临进一步批评。《ProPublica》一篇报道指出,微软曾雇用驻中国工程师为美国国防部合约项目提供支持服务。
对此,微软公关主管弗兰克·肖上周在X平台上表示:“微软已对美国政府客户的支持方式进行了调整,确保不再由中国团队为国防部的政府云和相关服务提供技术支持。”
中国驻华盛顿大使馆回应称,北京反对网络攻击和网络犯罪。使馆发言人刘鹏宇表示:“我们也坚决反对在没有确凿证据的情况下对他人进行抹黑。”
他补充道:“我们希望有关方面……在有充足证据的基础上作出结论,而不是毫无根据的猜测和指控。”
