Китайські “загрозливі актори” зламали сервери програмного забезпечення для документів Microsoft SharePoint та націлилися на дані компаній, які його використовують, повідомила фірма.

Зазначається, що китайські групи Linen Typhoon та Violet Typhoon, а також китайська Storm-2603 “використали вразливості” в локальних серверах SharePoint, які використовуються фірмами, але не в хмарному сервісі.

Американський технологічний гігант випустив оновлення безпеки у відповідь і порадив усім клієнтам серверів SharePoint, що працюють локально, встановити їх.

“Розслідування щодо інших зловмисників, які також використовують ці експлойти, триває”, – йдеться у заяві Microsoft.

Фірма заявила, що має “високу впевненість” у тому, що хакери продовжуватимуть націлюватися на системи, які не встановили оновлення безпеки.

Додається, що компанія оновлюватиме свій блог на вебсайті з додатковою інформацією по мірі продовження розслідування.

Microsoft повідомила, що спостерігала атаки, під час яких хакери надсилали запит до сервера SharePoint, “дозволяючи викрасти ключові матеріали зловмисникам”.

Чарльз Кармакал, головний технічний директор консалтингової фірми Mandiant, підрозділу Google Cloud, повідомив, що йому відомо про “кілька жертв у кількох різних секторах у різних географічних регіонах”.

Кармакал зазначив, що основними цілями, схоже, були уряди та бізнеси, які використовують SharePoint на своїх сайтах.

За його словами, низка зловмисників, які викрали матеріали, закодовані криптографією, змогли отримати постійний доступ до даних SharePoint жертв.

“Це було використано дуже широко, дуже вибірково до того, як з’явився патч. Ось чому це важливо”, – сказав Кармакал.

Кармакал додав, що “актор, пов’язаний з Китаєм”, використовував подібні методи до попередніх кампаній, пов’язаних з Пекіном.

Microsoft заявила, що Linen Typhoon “зосереджувалися на викраденні інтелектуальної власності, переважно націлюючись на організації, пов’язані з урядом, обороною, стратегічним плануванням та правами людини” протягом 13 років.

Додається, що Violet Typhoon “присвячував себе шпигунству”, переважно націлюючись на колишніх державних та військових службовців, неурядові організації, аналітичні центри, вищі навчальні заклади, ЗМІ, фінансовий та медичний сектори у США, Європі та Східній Азії.

Тим часом, Storm-2603 “оцінюється з середньою впевненістю як китайський зловмисник”.