Theo Reuters, một chiến dịch gián điệp mạng quy mô lớn nhắm vào SharePoint đang được thực hiện, tính đến ngày 21/7 có khoảng 100 tổ chức bị ảnh hưởng và con số đang tiếp tục gia tăng. Nhiều trong đó là tổ chức phi lợi nhuận, cơ quan chính phủ.
Vaisha Bernard, đại diện của Eye Security (Hà Lan) - công ty bảo mật đầu tiên phát hiện chiến dịch tấn công mạng nhắm đến SharePoint, cho biết hacker đã lợi dụng lỗ hổng zero-day trên nền tảng Microsoft. Zero-day là loại lỗ hổng chưa được công bố, hoặc chưa có bản vá lỗi, cho phép hacker xâm nhập vào máy chủ dễ bị tấn công, tạo cửa hậu để truy cập liên tục về sau.
Bernard cho biết vụ tấn công được phát hiện ngày 18/7 sau khi Eye Security sử dụng công cụ quét của Shadowserver Foundation và phát hiện gần 100 nạn nhân. Ông từ chối nêu tên những bên bị ảnh hưởng và nói đã thông báo cho họ khắc phục.
Shadowserver Foundation sau đó xác nhận con số 100 của Eye Security. Tổ chức bảo mật phi lợi nhuận này cho biết hầu hết nạn nhân ở Mỹ và Đức, trong đó có các tổ chức chính phủ. Washington Post cũng cho biết các cuộc tấn công nhắm đến nhiều bang của Mỹ, gồm trường đại học, công ty năng lượng, doanh nghiệp thương mại.
Danh tính nhóm hacker đứng sau chưa được xác định. TechCrunch dẫn lời Silas Cutler, nhà nghiên cứu chính tại Censys - công ty an ninh mạng chuyên theo dõi hoạt động tấn công mạng trên Internet, có vẻ mục tiêu khai thác ban đầu "khá hẹp và chủ yếu liên quan đến chính phủ".
Tuy nhiên, cuộc tấn công sau đó lan rộng. Cutler cho biết Censys đã phát hiện khoảng 9.000-10.000 máy chủ SharePoint có nguy cơ bị tấn công và con số này "đang thay đổi".
Trong bài đăng trên blog, Microsoft cho biết lỗ hổng zero-day này chỉ ảnh hưởng đến bản SharePoint được cài đặt trên mạng cục bộ, không phải bản đám mây. Có nghĩa, các tổ chức, doanh nghiệp triển khai máy chủ SharePoint cần áp dụng bản vá hoặc ngắt kết nối máy chủ đó khỏi Internet.
Microsoft hiện đã triển khai bản vá mới và khuyến cáo khách hàng cập nhật lập tức. Công ty cũng cho biết đang cùng FBI điều tra cuộc tấn công.
Trong khi đó, giới chuyên gia cho rằng số lượng mục tiêu tiềm năng vẫn rất lớn do nhiều bên chưa cài bản vá. Theo dữ liệu từ Shodan - công cụ tìm kiếm giúp xác định thiết bị kết nối Internet, về lý thuyết, hơn 8.000 máy chủ trực tuyến có thể đã bị hacker xâm nhập, bao gồm các công ty công nghiệp lớn, ngân hàng, công ty kiểm toán, công ty chăm sóc sức khỏe và một số tổ chức chính phủ cấp bang và quốc tế.
"Sự cố SharePoint dường như đã tạo ra mức độ xâm phạm rộng khắp trên nhiều máy chủ toàn cầu", Daniel Card, chuyên gia của công ty tư vấn an ninh mạng PwnDefend (Anh), nói với Reuters.
Microsoft SharePoint ra đời năm 2001, là nền tảng giúp cho doanh nghiệp có thể cộng tác làm việc trên nền web. Tính năng chủ yếu của nó là lưu trữ và quản lý tài liệu của doanh nghiệp, giao tiếp và nâng cao hiệu quả cộng tác. Người dùng có thể tạo website nội bộ dành cho đội nhóm hoặc quy mô toàn công ty. Các thành viên trong tổ chức có thể truy cập, chia sẻ và chỉnh sửa các tài liệu dễ dàng.
Bảo Lâm tổng hợp