Trong một bài đăng trên blog, Microsoft đã xác định hai nhóm được chính phủ Trung Quốc hỗ trợ, Linen Typhoon và Violet Typhoon, là những kẻ đang tận dụng các lỗ hổng trong phần mềm chia sẻ tài liệu khiến khách hàng chạy phần mềm này trên mạng riêng của họ, thay vì trên đám mây, trở nên dễ bị tấn công. Một nhóm tin tặc khác có trụ sở tại Trung Quốc, mà Microsoft gọi là Storm-2603, cũng đã khai thác các lỗ hổng này, theo bài đăng trên blog.

Số lượng các công ty và cơ quan bị xâm phạm do các vụ khai thác này đang ngày càng gia tăng: Tin tặc đã sử dụng các lỗ hổng SharePoint để xâm nhập vào Cơ quan Quản lý An ninh Hạt nhân Quốc gia Mỹ, theo một người biết về vấn đề này nhưng không được phép phát biểu công khai. Bloomberg cũng đưa tin vào thứ Hai rằng các hệ thống thuộc Bộ Giáo dục Mỹ, Sở Thuế Florida và Hội đồng Lập pháp Đảo đã bị xâm phạm.

Trong khi Microsoft đã vá phần mềm của mình trong những ngày gần đây, các nhà nghiên cứu an ninh mạng đã phát hiện các vụ xâm phạm trên hơn 100 máy chủ đại diện cho 60 nạn nhân cho đến nay, bao gồm các tổ chức trong lĩnh vực năng lượng, các công ty tư vấn và các trường đại học. Tin tặc cũng đã khai thác phần mềm để xâm nhập vào hệ thống của các chính phủ quốc gia từ châu Âu đến Trung Đông, theo một người quen thuộc với vấn đề này.

Các lỗ hổng SharePoint đã được sử dụng trong các vụ tấn công từ ít nhất ngày 7 tháng 7, theo Adam Meyers, phó chủ tịch cấp cao tại CrowdStrike Holdings Inc. Các vụ khai thác ban đầu giống như hoạt động được chính phủ tài trợ, sau đó lan rộng hơn bao gồm cả các vụ tấn công có vẻ như đến từ Trung Quốc, Meyers nói. Cuộc điều tra của CrowdStrike về chiến dịch này vẫn đang tiếp diễn, ông nói.

Microsoft cho biết trong blog của mình rằng các cuộc điều tra về các tác nhân đe dọa khác sử dụng các vụ khai thác này “vẫn đang tiếp diễn.” Công ty cho biết họ có “độ tin cậy cao” rằng tin tặc sẽ “tiếp tục tích hợp chúng vào các cuộc tấn công của họ.”

Trong một tuyên bố, Đại sứ quán Trung Quốc tại Washington cho biết Trung Quốc kiên quyết phản đối mọi hình thức tấn công mạng và tội phạm mạng.

“Đồng thời, chúng tôi cũng kiên quyết phản đối việc bôi nhọ người khác mà không có bằng chứng rõ ràng,” tuyên bố cho biết. “Chúng tôi hy vọng rằng các bên liên quan sẽ áp dụng thái độ chuyên nghiệp và có trách nhiệm khi mô tả các sự cố mạng, dựa trên bằng chứng đầy đủ thay vì suy đoán và cáo buộc vô căn cứ.”

Không có thông tin nhạy cảm hoặc thông tin mật nào được biết là đã bị xâm phạm trong vụ tấn công vào Cơ quan Quản lý An ninh Hạt nhân Quốc gia, người biết về vụ xâm phạm cho biết. Bộ phận bán tự trị của Bộ Năng lượng chịu trách nhiệm sản xuất và tháo dỡ vũ khí hạt nhân. Các phần khác của bộ cũng đã bị xâm phạm.

Một phát ngôn viên của Bộ Năng lượng cho biết qua email rằng việc khai thác SharePoint bắt đầu ảnh hưởng đến cơ quan vào ngày 18 tháng 7, nhưng nó bị hạn chế bởi thực tế là bộ sử dụng đám mây của Microsoft.

Đại diện của Bộ Giáo dục Mỹ và cơ quan lập pháp Rhode Island không phản hồi các cuộc gọi và email yêu cầu bình luận. Sở Thuế Florida cho biết các điểm yếu của SharePoint đang được điều tra “ở nhiều cấp độ chính phủ” nhưng từ chối bình luận thêm.

Tin tặc cũng đã xâm phạm hệ thống của một nhà cung cấp dịch vụ chăm sóc sức khỏe có trụ sở tại Mỹ và nhắm mục tiêu vào một trường đại học công lập ở Đông Nam Á, theo một báo cáo từ một công ty an ninh mạng được Bloomberg News xem xét. Báo cáo không nêu tên cụ thể của hai thực thể này, nhưng cho biết tin tặc đã cố gắng xâm nhập vào các máy chủ SharePoint ở các quốc gia bao gồm Brazil, Canada, Indonesia, Tây Ban Nha, Nam Phi, Thụy Sĩ, Vương quốc Anh và Mỹ. Công ty yêu cầu không được nêu tên vì tính nhạy cảm của thông tin.

Tin tặc đã đánh cắp thông tin đăng nhập, bao gồm tên người dùng, mật khẩu, mã băm và mã thông báo, từ một số hệ thống, theo một người quen thuộc với vấn đề này, người yêu cầu không được xác định danh tính khi thảo luận về thông tin nhạy cảm.

“Đây là một mối đe dọa nghiêm trọng và khẩn cấp,” Michael Sikorski, giám đốc công nghệ và trưởng bộ phận tình báo mối đe dọa của Unit 42 tại Palo Alto Networks Inc. cho biết.

“Điều đặc biệt đáng lo ngại là sự tích hợp sâu của SharePoint với nền tảng của Microsoft, bao gồm các dịch vụ như Office, Teams, OneDrive và Outlook, nơi chứa tất cả thông tin có giá trị đối với kẻ tấn công,” ông nói.

Công ty an ninh mạng Eye Security cho biết các lỗ hổng cho phép tin tặc truy cập vào các máy chủ SharePoint và đánh cắp các khóa có thể cho phép họ giả mạo người dùng hoặc dịch vụ ngay cả sau khi máy chủ được vá. Công ty cho biết tin tặc có thể duy trì quyền truy cập thông qua các cửa hậu hoặc các thành phần đã được sửa đổi có thể tồn tại qua các bản cập nhật và khởi động lại hệ thống.

Các vụ xâm phạm đã thu hút sự chú ý mới đến nỗ lực của Microsoft trong việc củng cố an ninh sau một loạt thất bại nổi bật. Công ty đã thuê các giám đốc điều hành từ các nơi như chính phủ Mỹ và tổ chức các cuộc họp hàng tuần với các giám đốc điều hành cấp cao để làm cho phần mềm của mình trở nên mạnh mẽ hơn. Công nghệ của công ty đã phải chịu một số vụ tấn công mạng lan rộng và gây thiệt hại trong những năm gần đây, và một báo cáo của chính phủ Mỹ năm 2024 mô tả văn hóa an ninh của công ty cần được cải cách khẩn cấp.

Eye Security đã phát hiện các vụ xâm phạm trên hơn 100 máy chủ đại diện cho 60 nạn nhân, bao gồm các tổ chức trong lĩnh vực năng lượng, các công ty tư vấn và các trường đại học. Các nạn nhân cũng nằm ở Ả Rập Saudi, Việt Nam, Oman và Các Tiểu vương quốc Ả Rập Thống nhất, theo công ty.

Đầu tháng 7, Microsoft đã phát hành các bản vá để sửa các lỗ hổng bảo mật, nhưng tin tặc đã tìm ra cách khác để xâm nhập.

“Có những cách để vượt qua các bản vá” cho phép tin tặc xâm nhập vào các máy chủ SharePoint bằng cách khai thác các lỗ hổng tương tự, Vaisha Bernard, tin tặc trưởng và đồng sở hữu của Eye Security, cho biết. “Điều đó đã cho phép các cuộc tấn công này xảy ra.” Các vụ xâm nhập, ông nói, không nhắm mục tiêu cụ thể mà thay vào đó nhằm xâm phạm càng nhiều nạn nhân càng tốt.

Ông từ chối tiết lộ danh tính của các tổ chức đã bị nhắm mục tiêu, nhưng cho biết chúng bao gồm các cơ quan chính phủ và công ty tư nhân, bao gồm “các tập đoàn đa quốc gia lớn.” Các nạn nhân nằm ở các quốc gia ở Bắc và Nam Mỹ, Liên minh châu Âu, Nam Phi và Úc, ông nói.