微軟：中共駭客利用漏洞網攻

微軟（Microsoft）公司週二（7月22日）指控，中共政權支持的駭客利用微軟SharePoint文件管理軟體中的漏洞，對全球企業和政府機構發動網路攻擊。

微軟已經發布緊急安全警報，指大量應用於政府與企業內部文件和多人協作的SharePoint伺服器正遭遇大規模網攻。微軟此前發布了一個補丁，但僅修復了部分問題。攻擊者最近利用尚未修補的漏洞，入侵全球多國的政府機構與關鍵基礎設施，引發聯邦調查局（FBI）與美國網路安全與基礎設施安全局（CISA）緊急介入。

微軟週二表示，已觀察到中共當局支持的兩個駭客組織「亞麻颱風」（Linen Typhoon）與「紫羅蘭颱風」（Violet Typhoon），利用SharePoint漏洞進行攻擊。他們也觀察到另一個中國威脅行為者，追蹤編號為Storm-2603，利用了這些漏洞。

微軟補充，公司仍在調查其他利用SharePoint漏洞進行攻擊的駭客，微軟確信駭客會繼續利用漏洞進行攻擊。

谷歌的麥迪安諮詢公司（Mandiant Consulting）技術長卡瑪卡（Charles Carmakal）說，評估認為，早期利用安全漏洞進行攻擊的駭客中，至少有一人是與中共有聯繫的「威脅行為者」。

另一位研究人員表示，聯邦調查人員掌握的證據顯示，與被入侵SharePoint系統相連的美國伺服器，在7月18、19日連接到了中國境內的IP地址。

美能源部：極少數系統受影響

彭博社週二報導，駭客利用上述漏洞入侵美國能源部國家核子安全局（NNSA）等單位的系統。知情人士說，迄今沒有國家核子安全局的敏感或機密資料外洩。國家核子安全局負責維護和設計美國核武庫。

能源部發言人在電子郵件中說，「7月18日星期五，微軟SharePoint零日漏洞（在軟體商修補前就被廣泛利用的漏洞）開始影響能源部」，僅極少數系統受到影響，所有受影響的系統陸續修復。

據資安公司與政府官員透露，這波攻擊已影響遍及全球的政府機構與企業用戶，包括美國聯邦與州政府、能源公司、學術機構、醫療系統，以及歐洲與亞洲的組織。

微軟發布補丁 提醒更新密鑰

資安公司Palo Alto Networks技術長西科爾斯基（Michael Sikorski）向《新聞週刊》（Newsweek）表示，攻擊者滲透系統後，會部署長期後門、竊取敏感數據與加密金鑰，並可藉此在未來持續重返系統。

西科爾斯基說，「令人特別擔憂的是SharePoint與微軟平台緊密整合，一旦被攻破，將難以控制——它會打開通往整個網路的大門。」

微軟表示，截至7月21日，公司已經為最後一個受影響版本發布有效補丁。不過微軟警告客戶，雖然安裝補丁可以防止新的入侵，但客戶還需要更改機器的數位密鑰，使用反惡意軟體，查找任何已經發生的入侵。

與中共駭客類似的特徵

歐洲網路安全提供商「Eye Security」技術長兼聯合創辦人科克霍夫斯（Piet Kerkhofs）表示，SharePoint的漏洞攻擊事件，與之前被歸因於中共駭客的其他入侵事件有相似特徵。

科克霍夫斯舉例，駭客7月利用了思傑NetScaler虛擬桌面中的漏洞進行攻擊。一些研究人員發現該漏洞正被中共駭客利用；該駭客攻擊與SharePoint入侵事件類似，因為它以極快的速度，即幾小時到幾天，將一個新發現的漏洞轉化為一種「攻擊手段」或「武器」。

另據《華盛頓郵報》報導，兩名資安人員說，這次攻擊的初期目標是中共政府感興趣的實體。其他資安人員說，許多攻擊者正在嘗試類似的行動，他們試圖竊取公司機密或安裝勒索軟體，對關鍵文件進行加密，直到受害者付款為止。◇