Uma atualização de segurança lançada pela Microsoft neste mês não conseguiu corrigir totalmente uma falha crítica no software SharePoint da gigante tecnológica norte-americana, abrindo caminho para uma ampla operação de espionagem cibernética global, conforme revela uma linha do tempo analisada pela Reuters.
Na terça-feira, um porta-voz da Microsoft confirmou que a solução inicial para a falha, identificada em uma competição de hackers em maio, não funcionou, mas acrescentou que foram liberadas novas atualizações que resolveram o problema.
Ainda não está claro quem está por trás da operação de espionagem, que visou cerca de 100 organizações no fim de semana e deve se expandir com a adesão de outros hackers.
Em um post de blog, a Microsoft informou que dois grupos de hackers supostamente chineses, chamados “Linen Typhoon” e “Violet Typhoon”, estavam explorando as vulnerabilidades, junto com um terceiro, também baseado na China.
A Microsoft e a Alphabet, empresa-mãe do Google, afirmaram que hackers vinculados à China provavelmente estavam por trás da primeira onda de ataques.
Agentes ligados ao governo chinês são frequentemente implicados em ciberataques, embora Pequim negue regularmente essas operações de hacking.
Em uma declaração enviada por e-mail, a embaixada da China em Washington afirmou que o país se opõe a todas as formas de ciberataques e a “difamações sem provas sólidas”.
A vulnerabilidade que possibilitou o ataque foi identificada pela primeira vez em maio, em uma competição de hackers em Berlim, organizada pela empresa de cibersegurança Trend Micro, que ofereceu recompensas em dinheiro para a descoberta de falhas em softwares populares.
A competição ofereceu um prêmio de US$ 100 mil por chamadas “zero-day”, que exploram falhas digitais não divulgadas que poderiam ser usadas contra o SharePoint, a principal plataforma de gestão e colaboração de documentos da Microsoft.
Entre as agências invadidas, a Administração Nacional de Segurança Nuclear dos EUA, encarregada de manter e projetar o arsenal nuclear do país, estava entre as afetadas, segundo o Bloomberg News, citando uma fonte com conhecimento sobre o assunto.
Nenhuma informação sensível ou classificada é conhecida por ter sido comprometida, acrescentou.
O Departamento de Energia dos EUA, a Agência de Segurança Cibernética e Infraestrutura dos EUA e a Microsoft não responderam imediatamente aos pedidos da Reuters para comentar o relatório.
Um pesquisador do braço de cibersegurança da Viettel, uma empresa de telecomunicações gerida pelas Forças Armadas do Vietnã, identificou um bug no SharePoint durante o evento de maio, batizou-o de “ToolShell” e demonstrou uma forma de explorá-lo.
A descoberta rendeu ao pesquisador um prêmio de US$ 100 mil, de acordo com uma postagem da “Zero Day Initiative” da Trend Micro.
Os fornecedores participantes eram responsáveis por corrigir e divulgar falhas de segurança “de maneira eficaz e em tempo hábil”, afirmou a Trend Micro em uma declaração.
“As correções ocasionalmente falharão,” acrescentou. “Isso já ocorreu com o SharePoint no passado.”
Em uma atualização de segurança de 8 de julho, a Microsoft informou que havia identificado o bug, classificado como uma vulnerabilidade crítica, e liberado correções para resolvê-lo.
No entanto, cerca de 10 dias depois, empresas de cibersegurança começaram a notar um aumento da atividade maliciosa online direcionada ao mesmo software que a falha buscava explorar: os servidores SharePoint.
“Os atores de ameaça, subsequentemente, desenvolveram exploits que aparentemente ignoram essas correções,” disse a empresa britânica de cibersegurança Sophos em um post de blog na segunda-feira.
O número de potenciais alvos do ToolShell permanece vasto.
Hackers podem, teoricamente, já ter comprometido mais de 8.000 servidores online, de acordo com dados do mecanismo de busca Shodan, que ajuda a identificar equipamentos conectados à internet.
Esses servidores estavam em redes que vão de auditores, bancos, empresas de saúde e grandes indústrias até organismos governamentais em nível estadual e internacional dos EUA.
A Shadowserver Foundation, que escaneia a internet em busca de potenciais vulnerabilidades digitais, indicou que o número passava um pouco de 9.000, alertando que essa cifra é um mínimo.
A maioria dos afetados estaria localizada nos Estados Unidos e na Alemanha.
O escritório federal da Alemanha para segurança da informação, BSI, afirmou na terça-feira que não encontrou servidores SharePoint comprometidos em redes governamentais, apesar de alguns estarem vulneráveis ao ataque ToolShell.
