Uma grande operação de ciberespionagem que teve como alvo o software de servidor da Microsoft comprometeu cerca de 100 diferentes organizações, de acordo com duas das entidades que ajudaram a revelar o esquema.
No sábado (20), a Microsoft emitiu um alerta sobre “ataques ativos” aos servidores autogerenciados SharePoint, amplamente usados por agências governamentais e empresas para compartilhar documentos dentro das organizações.
Chamado de “dia zero” porque explora vulnerabilidades digitais até então desconhecidas, os ataques permitem que espiões invadam servidores vulneráveis e, potencialmente, criem uma porta de entrada para garantir acesso contínuo às organizações vítimas.
Vaisha Bernard, líder de hack da Eye Security, uma empresa de cibersegurança com sede na Holanda, que descobriu a campanha de invasão direcionada a um de seus clientes na sexta-feira, disse que uma varredura na internet realizada com a Shadowserver Foundation revelou quase 100 vítimas no total — e isso foi antes da técnica por trás do hack ser amplamente conhecida.
“Não há ambiguidade“, disse Bernard nesta segunda-feira (21). “Quem sabe o que outros adversários têm feito desde então para colocar outras ‘backdoors’.”
Ele se recusou a identificar as organizações afetadas, afirmando que as autoridades nacionais relevantes já haviam sido notificadas.
A Fundação Shadowserver confirmou o número de 100 atingidos e disse que a maioria dos afetados estava nos Estados Unidos e na Alemanha, e que as vítimas incluíam organizações governamentais.
Outro pesquisador disse que, até agora, a espionagem parece ser trabalho de um único hacker ou de um grupo de hackers.
“É possível que isso mude rapidamente”, disse Rafe Pilling, diretor de inteligência de ameaças da Sophos, uma empresa britânica de segurança digital.
A Microsoft disse que “forneceu atualizações de segurança e incentiva os clientes a instalá-las”, disse um porta-voz da empresa em uma declaração por email.
Não estava claro quem foi o autor do ataque.
O FBI disse que está ciente dos ataques e está trabalhando em estreita colaboração com seus parceiros federais e do setor privado, mas não forneceu outros detalhes.
O Centro Nacional de Segurança Cibernética do Reino Unido disse em uma declaração que tinha conhecimento de “um número limitado” de alvos no Reino Unido.
Segurança cibernética
Empresas de segurança cibernética alertaram que uma ampla parcela das organizações pode ser afetada pela violação.
A Microsoft informou que os hackers estão mirando especificamente em clientes que executam servidores SharePoint em suas próprias redes locais, em vez de serem hospedados e gerenciados pela empresa de tecnologia. Isso poderia limitar o impacto a uma subseção de clientes.
Silas Cutler, pesquisador da empresa de segurança cibernética Censys, sediada em Michigan, estimou que mais de 10 mil empresas com servidores SharePoint estavam em risco. Os EUA tinham o maior número dessas empresas, seguidos pela Holanda, Reino Unido e Canadá, disse ele.
“É um sonho para os operadores de ransomware, e muitos invasores também estarão trabalhando neste fim de semana”, disse ele.
A Microsoft tem tentado reforçar sua segurança cibernética após uma série de falhas de alto perfil, contratando novos executivos de órgãos, como o governo dos EUA, e realizando reuniões semanais com executivos seniores para tornar seu software mais resiliente.
A tecnologia da empresa tem sido alvo de vários ataques generalizados e prejudiciais nos últimos anos, e um relatório do governo dos EUA de 2024 descreveu a cultura de segurança da empresa como necessitando de reformas urgentes.
A Palo Alto Networks alertou que “as explorações do SharePoint são reais, em ação e representam uma séria ameaça”. O Google Threat Intelligence Group afirmou em um comunicado por e-mail que observou hackers explorando a vulnerabilidade, acrescentando que ela permite “acesso persistente e não autenticado e representa um risco significativo para as organizações afetadas”.
“Quando conseguem comprometer a fortaleza que é o SharePoint, todos ficam à vontade, porque esse é um dos protocolos de segurança mais rigorosos que existem”, disse Gene Yu, CEO da Blackpanda, empresa de resposta a incidentes cibernéticos com sede em Singapura.
O Washington Post noticiou que a violação afetou agências federais e estaduais dos EUA, universidades, empresas de energia e uma empresa asiática de telecomunicações, citando autoridades estaduais e pesquisadores privados.
“Pesquisadores da Eye Security foram os primeiros a identificar a vulnerabilidade”, disse Cutler. Eles relataram uma intrusão na sexta-feira (18) semelhante à identificada no início da semana em uma demonstração pelos pesquisadores da Code White GmbH, que reproduziu vulnerabilidades apresentadas por outros no concurso de hacking Pwn2Own.
Ataques hackers
A Microsoft enfrentou uma série de ataques cibernéticos recentes, alertando em março que hackers chineses estavam mirando em ferramentas de gerenciamento remoto e aplicativos em nuvem para espionar uma série de empresas e organizações nos EUA e no exterior.
O Conselho de Revisão de Segurança Cibernética, um grupo mandatado pela Casa Branca e criado para examinar grandes ataques cibernéticos, afirmou que a cultura de segurança da Microsoft era “inadequada” após o ataque hacker às caixas de correio do Exchange Online da empresa em 2023.
Nesse incidente, hackers conseguiram invadir 22 organizações e centenas de indivíduos, incluindo a ex-secretária de Comércio dos EUA, Gina Raimondo.