Корпорация Microsoft расследует, позволила ли утечка из ее системы раннего оповещения для компаний, занимающихся кибербезопасностью, китайским хакерам воспользоваться уязвимостями в ее службе SharePoint до того, как они были устранены, сообщают осведомленные источники.
Информационное агентство пытается выяснить, привел ли этот метод, призванный дать консультантам по кибербезопасности возможность восстановить компьютерные пакеты до того, как будут выявлены новые проблемы безопасности, к широкому использованию уязвимостей в его программном обеспечении SharePoint по всему миру за последние несколько дней, сообщили люди, пожелавшие остаться анонимными в связи с обсуждением личных вопросов.
«В рамках нашей обычной работы мы рассмотрим этот инцидент, выявим области, требующие улучшения, и применим эти улучшения в широком масштабе», — заявил представитель Microsoft на пресс-конференции, добавив, что партнерские пакеты являются неотъемлемой частью мер безопасности компании.
Посольство Китая в Вашингтоне сослалось на заявления, сделанные пресс-секретарем Министерства иностранных дел Го Цзякунем в СМИ ранее на этой неделе, в которых он выступил против хакерских атак. «Кибербезопасность — это общая проблема, с которой сталкиваются все страны, и её следует решать сообща, посредством диалога и сотрудничества», — сказал Го. «Китай выступает против хакерских атак и борется с ними в соответствии с законом. В то же время мы выступаем против клеветы и нападок на Китай под предлогом кибербезопасности».
Microsoft приписала взломы SharePoint китайским хакерам, спонсируемым государством. Как сообщается на сайте Microsoft, в этой инициативе, известной как Программа активной защиты Microsoft (MAPP), участвует как минимум дюжина китайских компаний. Участники этой 17-летней программы должны подтвердить, что являются дистрибьюторами решений для кибербезопасности и не производят хакерские инструменты, такие как программы для тестирования на проникновение. После подписания соглашения о неразглашении они получают информацию о новых исправлениях уязвимостей на 24 часа раньше, чем Microsoft выпускает их для большинства пользователей.
Подгруппа дополнительных тщательно проверенных потенциальных клиентов получает уведомления о готовящемся патче на 5 дней раньше, реагируя на информацию на веб-сайте Microsoft MAPP.
Дастин Чайлдс, руководитель отдела по выявлению угроз в рамках инициативы Zero Day Initiative в агентстве по кибербезопасности Sample Micro, сообщил, что Microsoft предупредила участников этой системы об уязвимостях, которые привели к атакам на SharePoint. «Эти две ошибки были включены в версию MAPP», — говорит Чайлдс, чья компания является членом MAPP. «Мы определённо рассматривали возможность утечки». Он добавляет, что такая утечка представляет серьёзную угрозу для этой системы, «хотя я всё ещё считаю, что у MAPP есть свои недостатки».
Жертвами атак стали более 400 государственных учреждений и компаний по всему миру, включая Национальное управление ядерной безопасности США (National Nuclear Security Administration), подразделение, ответственное за разработку и поддержание ядерного оружия страны. Microsoft обвинила в организации, по крайней мере, нескольких атак группы Linen Hurricane и Violet Hurricane, спонсируемые китайскими властями, а также другую китайскую группу, которую она называет Storm-2603. В ответ на обвинения посольство Китая заявило, что выступает против любых видов кибератак, а также против «клеветы на других без веских доказательств».
Динь Хо Ань Хоа, исследователь вьетнамской компании по кибербезопасности Viettel, в мае на конференции Pwn2Own в Берлине, организованной группой Чайлдса, сообщил о наличии неизвестных уязвимостей в SharePoint. Хакеры сидят на сцене и ищут критические уязвимости безопасности прямо перед живой аудиторией. После многочисленных демонстраций и празднования Хоа отправился в отдельную комнату к Чайлдсу и консультанту по маркетингу Microsoft, о котором рассказал Чайлдс. Хоа подробно рассказал об эксплойте и передал ему полный технический документ. Microsoft одобрила оценку и немедленно приступила к работе над исправлением. За эту работу Коа получил 100,000 XNUMX долларов.
Microsoft потребовалось около 60 дней, чтобы предложить вам восстановление. 7 июля, за день до публичного выпуска исправления, хакеры атаковали серверы SharePoint, о чём сообщают специалисты по кибербезопасности.
Чайлдс считает, что хакеры могли самостоятельно обнаружить уязвимости и начать их эксплуатировать в тот же день, когда Microsoft поделилась ими с членами MAPP. Тем не менее, он допускает, что это может быть невероятным совпадением. Другая очевидная вероятность заключается в том, что кто-то поделился информацией со злоумышленниками.
Утечка обзоров ожидаемого патча обычно является существенным сбоем в системе безопасности, тем не менее, «это произошло раньше», говорит Джим Уолтер, старший исследователь угроз киберкомпании SentinelOne.
MAPP стала источником предполагаемых утечек ещё в 2012 году, когда Microsoft обвинила Hangzhou DPtech Utilized Sciences Co., китайское агентство информационной безопасности, в раскрытии информации, которая выявила серьёзную уязвимость в домашних окнах. Hangzhou DPtech не имела никакого отношения к MAPP. В то время маркетинговый консультант Microsoft заявил в пресс-релизе, что компания также «усилила текущий контроль и приняла меры для более надёжной защиты наших данных».
В 2021 году Microsoft заподозрила как минимум двух партнеров MAPP на китайском языке в утечке информации об уязвимостях своих серверов Exchange, что привело к всемирной хакерской кампании, в которой Microsoft обвинила китайскую шпионскую группу Hafnium. Это нарушение считалось одним из крупнейших в истории компании: были взломаны десятки тысяч торговых серверов, включая серверы Европейской банковской организации и парламента Норвегии.
После инцидента 2021 года компания рассматривала возможность пересмотра программы MAPP, как ранее сообщало агентство Bloomberg. Однако компания не раскрыла, были ли внесены какие-либо изменения в неё в конечном итоге и были ли обнаружены какие-либо утечки.
Согласно докладу Atlantic Council, принятый в 2021 году, любое агентство или исследователь в области безопасности, обнаружив уязвимость безопасности, должны в течение 48 часов сообщить об этом в Министерство торговли и информационных технологий Китая. Среди множества китайских компаний, участвующих в программе MAPP, таких как Beijing CyberKunlun Experience Co Ltd., также есть участники программы уязвимостей китайского правительства – Китайской национальной базы данных уязвимостей, которую ведет Министерство государственной безопасности Китая, в соответствии с веб-сайтами китайского правительства.
Эухенио Бенинкаса, исследователь из Центра анализа безопасности Швейцарской высшей технической школы Цюриха, отмечает отсутствие прозрачности в том, как китайские компании сопоставляют свои обязательства по защите от уязвимостей, о которых сообщила Microsoft, с требованиями о предоставлении информации китайским властям. «Всем известно, что многие из этих компаний сотрудничают с государственными службами безопасности, и что система управления уязвимостями может быть очень централизованной», — говорит Бенинкаса. «Это, безусловно, область, требующая более пристального внимания».
© 2025 Bloomberg LP
Расширьте свои горизонты с помощью NextTech Data — места, где инновации встречаются с идеями.
Узнайте о последних достижениях, получите уникальные обновления и станьте частью всемирной группы мыслителей, ориентированных на будущее.
Откройте для себя тенденции завтрашнего дня: учитесь дополнительно, подписывайтесь на нашу электронную рассылку и присоединяйтесь к сообществу NextTech на NextTech-news.com
Будьте в курсе событий вместе с NextBusiness 24. Узнайте больше историй, подпишитесь на нашу электронную рассылку и станьте частью нашей растущей группы на nextbusiness24.com
