Нова мащабна кибершпионска операция, използваща уязвимост в сървърния софтуер на Microsoft, е засегнала около 100 организации по света, съобщиха експерти по киберсигурност, цитирани от "Ройтерс".

Кампанията е насочена към самостоятелно хоствани сървъри SharePoint, използвани масово за вътрешна комуникация и споделяне на документи. Облачните версии на SharePoint не са засегнати.

Microsoft публикува официално предупреждение в събота, наричайки атаките "активни" и потвърждавайки, че са използвали т.нар. zero-day уязвимост - пробив, за който досега не е било известно публично и който позволява на хакери да получат продължителен достъп до системите на жертвите.

Нидерландската фирма Eye Security, открила атаката в петък при свой клиент, заедно с фондацията Shadowserver са установили около 100 засегнати сървъра. Повечето от жертвите се намират в САЩ и Германия, сред които има правителствени институции, индустриални компании, банки, здравни организации и одиторски фирми.

"Това е еднозначна атака с реални последици. Кой знае колко други групи вече са използвали уязвимостта, за да поставят свои "задни вратички" в компрометирани системи", заяви главният програмист на Eye Security Вайша Бернар.

Microsoft обяви, че вече е пуснала обновления за сигурност и призовава клиентите незабавно да ги инсталират. От компанията не разкриват колко точно организации са засегнати, но по данни от Shodan и Shadowserver уязвими потенциално са между 8 000 и 9 000 сървъра по света.

Google, която следи голяма част от интернет трафика, е открила връзки между някои от атаките и т.нар. "China-nexus threat actor" - група, за която се смята, че действа в интерес на Китай. Китайската страна засега не е коментирала, като традиционно отрича участие в подобни действия.

ФБР потвърди, че следи случая и работи съвместно с партньори от публичния и частния сектор. Британският Национален център за киберсигурност също съобщи за ограничен брой засегнати цели на територията на Обединеното кралство.

Експертите предупреждават, че дори след инсталиране на обновленията е нужно допълнително разследване и засилена защита на сървърите. "Това не е само софтуерен проблем - тук говорим за вече настъпил пробив в сигурността", подчертава Даниел Кард от британската фирма PwnDefend.