Le analisi, precisano le fonti, potrebbero richiedere settimane, se non mesi, per determinare con precisione l’impatto dell’attacco
Microsoft accusa gruppi di hacker sostenuti dalla Cina di essere tra i responsabili di una serie di attacchi informatici globali condotti attraverso una vulnerabilità nel software SharePoint. In un post ufficiale, l’azienda di Redmond ha identificato i gruppi Linen Typhoon e Violet Typhoon, attivi dalla metà degli anni 2010 e già noti per attività di spionaggio e furto di proprietà intellettuale. Anche un terzo attore, sempre con base in Cina, avrebbe sfruttato la stessa falla.
LEGGI Attacco hacker a Microsoft: colpiti enti e aziende in tutto il mondo
A confermare la situazione è anche Mandiant, la società di cybersicurezza di Google. In un’intervista ad Axios, un dirigente di Mandiant ha dichiarato che “più attori” hanno preso di mira la vulnerabilità di SharePoint scoperta nel fine settimana. Gli hacker avrebbero utilizzato la falla per esfiltrare segreti crittografici dai server delle vittime, compromettendo dati sensibili di diverse organizzazioni.
Secondo quanto riportato sempre da Axios, Microsoft sta lavorando a nuove patch di sicurezza per proteggere le infrastrutture colpite, mentre il governo degli Stati Uniti collabora con la società tecnologica per indagare sull’origine e sull’estensione delle intrusioni. Le analisi, precisano le fonti, potrebbero richiedere settimane, se non mesi, per determinare con precisione l’impatto dell’attacco.
Tra i bersagli già noti: due agenzie federali statunitensi, un parlamento statale sulla costa orientale degli Usa, un’azienda energetica americana, agenzie governative europee, una compagnia telefonica asiatica, un’università brasiliana, un ente locale ad Albuquerque, e un’agenzia pubblica in Spagna.
Ulteriori dettagli sono stati forniti dalla società di sicurezza Check Point, secondo la quale gli attacchi sono partiti da tre indirizzi IP distinti. Uno di questi risulta già collegato a precedenti attività criminose, tra cui lo sfruttamento di una vulnerabilità nella piattaforma Ivanti Endpoint Manager, usata per la gestione dei dispositivi aziendali, scoperta a gennaio 2024.
