Jens Asbjørn Bøgen
Tech-giganten advarer desuden om, at hackerne vil fortsætte med at gå efter systemer, der ikke har installeret den sikkerhedsopdatering, der blev rullet ud som følge af angrebet.
Tech-giganten advarer desuden om, at hackerne vil fortsætte med at gå efter systemer, der ikke har installeret den sikkerhedsopdatering, der blev rullet ud som følge af angrebet.
Hvad sker der?
Microsoft siger nu, at statsstøttede kinesiske hackergrupper har udnyttet sårbarheder i selskabets lokale SharePoint-software og derved fået adgang til følsomme virksomhedsdata.
Virksomheden understreger, at angrebet ikke har påvirket deres cloud-baserede tjenester.
Tre hackergrupper står bag
Datasikkerhedsbruddet kan spores til tre forskellige grupper: Linen Typhoon, Violet Typhoon og Storm-2603.
De to førstnævnte menes at være statsstøttede af Kina, mens der er “middel tiltro” til, at Storm-2603 også er af kinesisk oprindelse, ifølge BBC.
Hasteopdateringer rullet ud
Som reaktion på angrebet har Microsoft frigivet sikkerhedsopdateringer og opfordrer alle virksomheder med lokale SharePoint-servere til straks at installere dem.
Systemer, der ikke bliver opdateret, er fortsat i fare, advarer virksomheden.
Sikkerhedshul efterforskes stadig
Microsoft oplyser, at det stadig undersøges, om andre aktører udnytter de samme sikkerhedshuller.
Yderligere resultater vil blive delt på selskabets officielle blog, efterhånden som efterforskningen skrider frem.
Angrebet involverede tyveri af krypteringsnøgler
Ifølge Microsoft sendte hackerne ondsindede forespørgsler til sårbare SharePoint-servere for at stjæle såkaldt “key material” – kryptografiske data, der giver vedvarende adgang til følsomme oplysninger.
Globalt angreb på tværs af sektorer
Charles Carmakal fra Google Clouds Mandiant Consulting fortæller til BBC, at ofrene dækker en bred vifte af brancher og regioner.
Både offentlige institutioner og private virksomheder, der benytter lokale SharePoint-løsninger, blev ramt.
Hackerne fastholdt adgang længe efter bruddet
Det stjålne krypteringsmateriale gjorde det muligt for angriberne at bevare adgang til systemerne over længere tid – også efter, at sikkerhedsbruddet var opdaget.
Udnyttet før sikkerhedsopdatering var tilgængelig
Carmakal understreger, at sårbarheden blev udnyttet bredt og opportunistisk, inden Microsoft nåede at udarbejde en opdatering.
Denne tidlige udnyttelse gjorde hændelsen særligt alvorlig.
Taktikker ligner tidligere kinesiske kampagner
De teknikker, der blev anvendt under angrebet, minder stærkt om metoder, der tidligere er kædet sammen med kinesiske statsstøttede cyberoperationer.
Hackernes fremgangsmåde passer ind i et større mønster af strategisk spionage.
Spionage, IP-tyveri og globale mål
Microsoft oplyser, at Linen Typhoon i over et årti har haft regeringer, forsvar og menneskerettighedsorganisationer som mål for tyveri af intellektuel ejendom.
Samtidig har Violet Typhoon fokuseret på spionage rettet mod tidligere embedsmænd, NGO’er, tænketanke og institutioner i USA, Europa og Østasien.
