Выпущенное в этом месяце исправление безопасности от Microsoft, не смогло полностью устранить критическую уязвимость в серверном программном обеспечении SharePoint американского технологического гиганта, что открыло путь к масштабному глобальному кибершпионажу, как показывает хронология событий, изученная агентством Reuters.

22.07.2025 г. представитель Microsoft подтвердил, что первоначальное решение проблемы, выявленное на хакерском конкурсе в мае, не сработало, но добавил, что компания выпустила дополнительные исправления, которые устранили проблему.

Остается неясным, кто стоит за шпионской деятельностью, которая в минувшие выходные была нацелена примерно на 100 организаций и, как ожидается, будет распространяться по мере того, как к борьбе присоединятся другие хакеры.

В своем блоге Microsoft сообщил, что две предположительно китайские хакерские группы, получившие название «Linen Typhoon» и «Violet Typhoon», использовали уязвимости, а также третья, которая также базируется в Китае.

Microsoft и компания Google (дочерняя компания Alphabet), заявили, что хакеры, связанные с Китаем, вероятно, стояли за первой волной взломов.

Сотрудники, связанные с китайским правительством, регулярно участвуют в кибератаках, но Пекин обычно отрицает подобные хакерские операции.

В заявлении, отправленном по электронной почте, посольство Китая в Вашингтоне заявило, что Китай выступает против любых форм кибератак и «очернения других без убедительных доказательств».

Уязвимость, открывшая путь для атаки, была впервые обнаружена в мае на берлинском конкурсе хакеров, организованном компанией Trend Micro, занимающейся кибербезопасностью, которая предлагала денежное вознаграждение за поиск компьютерных ошибок в популярном программном обеспечении.

Была объявлена премия в размере 100 000 долларов США за так называемые эксплойты «нулевого дня», которые используют ранее неизвестные цифровые уязвимости, которые могут быть использованы против SharePoint, флагманской платформы Microsoft для управления документами и совместной работы.

Агентство Bloomberg News сообщило 22.07.2025 г. со ссылкой на источник, знакомый с ситуацией, что среди агентств, чьи данные были взломаны, было Национальное управление ядерной безопасности США, отвечающее за содержание и проектирование национального арсенала ядерного оружия.

Информации о утечке конфиденциальной или секретной информации пока нет, добавило агентство.

Министерство энергетики США, Агентство по кибербезопасности и безопасности инфраструктуры США и Microsoft пока не отреагировали на запросы Reuters прокомментировать сообщение.

Специалист, работающий в подразделении кибербезопасности Viettel, телекоммуникационной компании, управляемой военными Вьетнама, обнаружил на майском мероприятии ошибку SharePoint, назвал ее «ToolShell» и продемонстрировал способ ее эксплуатации.

За это открытие исследователь получил награду в размере 100 000 долларов США, говорится в публикации «Инициатива нулевого дня» компании Trend Micro.

Участвующие поставщики обязаны эффективно и своевременно устранять уязвимости и раскрывать информацию о них, говорится в заявлении Trend Micro.

«Иногда исправления не работают», — добавила компания. «Такое случалось с SharePoint и раньше».

В обновлении для системы безопасности от 8 июля Microsoft сообщил, что обнаружил ошибку, указал её как критическую уязвимость и выпустил исправления для ее устранения.

Однако примерно через 10 дней компании, занимающиеся кибербезопасностью, начали замечать рост вредоносной онлайн-активности, нацеленной на то же программное обеспечение, которое использовалось для обнаружения ошибки: серверы SharePoint.

«Злоумышленники впоследствии разработали эксплойты, которые, по-видимому, позволяют обойти эти исправления», — говорится в сообщении от 21.07.2025 г., британской компании по кибербезопасности Sophos, в блоге.

Список потенциальных целей ToolShell остается обширным.

Теоретически хакеры могли уже взломать более 8000 серверов в режиме онлайн, свидетельствуют данные поисковой системы Shodan, которая помогает идентифицировать оборудование, подключенное к Интернету.

Такие серверы находились в самых разных сетях — от аудиторских компаний, банков, медицинских компаний и крупных промышленных фирм до государственных органов США и международных организаций.

Фонд Shadowserver, который сканирует Интернет на предмет потенциальных цифровых уязвимостей, сообщил, что их число составляет чуть более 9000, предупредив, что это минимальная цифра.

В нем говорится, что большинство пострадавших находятся в Соединенных Штатах и Германии.

Федеральное управление информационной безопасности Германии, BSI, заявило 21.07.2025 г., что не обнаружило скомпрометированных серверов SharePoint в правительственных сетях, несмотря на то, что некоторые из них были уязвимы для атаки ToolShell.