I server SharePoint di Microsoft sono stati hackerati da gruppi cinesi.
In un post sul blog, il gigante della tecnologia di Redmond ha identificato due gruppi supportati dal governo di Pechino, Linen Typhoon e Violet Typhoon, che hanno sfruttato la falla in SharePoint: il suo server software ampiamente utilizzato da aziende e organizzazioni per archiviare e condividere documenti interni. Dietro la violazione ai server c’è anche un altro gruppo di hacker con sede in Cina, che Microsoft chiama Storm-2603, sostiene il post.
Sabato, il colosso della tecnologia ha segnalato una falla “zero-day” nei suoi server SharePoint. Si definisce un bug zero-day quando il fornitore – Microsoft in questo caso – non è riuscito a rilasciare una patch prima dello sfruttamento della vulnerabilità.
Nell’avviso emesso sabato, Microsoft ha specificato che le vulnerabilità si applicano solo ai server SharePoint utilizzati all’interno delle organizzazioni che lo utilizzano sulle proprie reti. SharePoint Online in Microsoft 365, che si trova nel cloud, non risulta colpito dagli attacchi precisa la società.
Il numero di aziende e agenzie soggette a violazioni a seguito di questi exploit è nel frattempo in aumento: gli hacker hanno utilizzato le falle di SharePoint per accedere alla National Nuclear Security Administration (NSA) degli Stati Uniti, rileva Bloomberg. L’agenzia stampa internazionale ha riportato che risultano compromessi anche sistemi appartenenti al Dipartimento dell’Istruzione degli Stati Uniti, al Dipartimento delle Entrate della Florida e all’Assemblea Generale del Rhode Island.
In una dichiarazione, l’Ambasciata cinese a Washington ha affermato che la Cina si oppone fermamente a ogni forma di attacco informatico e criminalità informatica.
Tutti i dettagli.
LA VIOLAZIONE AI SERVER SHAREPOINT
Come spiega TechCrunch, il bug, noto ufficialmente come CVE-2025-53770 e scoperto lo scorso fine settimana, consente agli hacker di rubare chiavi private sensibili da versioni self-hosted di SharePoint, . Una volta sfruttato, un aggressore può utilizzare il bug per installare malware da remoto e ottenere l’accesso ai file e ai dati in esso archiviati, nonché ad altri sistemi sulla stessa rete.
LE ORGANIZZAZIONI COMPROMESSE
Sebbene Microsoft abbia rilasciato una patch per il suo software, i ricercatori di sicurezza informatica hanno già rilevato violazioni su oltre 100 server, che rappresentano finora 60 vittime, tra cui organizzazioni del settore energetico, società di consulenza e università, riporta Bloomberg.
LA PORTATA DELL’ATTACCO INFORMATICO
Mentre gli investigatori statunitensi stanno ancora cercando di comprendere la portata completa della campagna di hacking, si sta rapidamente configurando come l’incidente di sicurezza informatica più grave del secondo mandato del presidente Donald Trump fino ad ora, commenta Politico.
Le falle nel software SharePoint sono considerate gravi perché hanno permesso agli hacker di accedere da remoto ai clienti Microsoft che utilizzavano versioni self-hosted del servizio e di penetrare più a fondo nelle loro reti, ha aggiunto la testata.
L’ACCUSA AI GRUPPI DI HACKER CINESI VIOLET TYPHOON, LINEN TYPHOON E STORM-2603
E dietro lo sfruttamento illecito della falla nel server SharePoint ci sarebbero hacker cinesi, secondo Microsoft.
“Agenti di minacce” cinesi hanno hackerato i server del software documentale SharePoint e preso di mira i dati delle aziende che li utilizzavano, ha dichiarato il colosso tecnologico. Secondo Microsoft Linen Typhoon e Violet Typhoon, supportati dallo stato cinese, così come Storm-2603, con base in Cina, hanno “sfruttato vulnerabilità” nei server SharePoint.
Microsoft ha affermato che Linen Typhoon si è “concentrato sul furto di proprietà intellettuale, prendendo di mira principalmente organizzazioni legate al governo, alla difesa, alla pianificazione strategica e ai diritti umani” per 13 anni.
La società ha aggiunto che Violet Typhoon era “dedicato allo spionaggio”, prendendo di mira principalmente ex personale governativo e militare, organizzazioni non governative, think tank, istituti di istruzione superiore, media, settore finanziario e sanitario negli Stati Uniti, in Europa e nell’Asia orientale. Nel frattempo, Storm-2603 è “valutato con un livello di sicurezza medio come un attore di minaccia con base in Cina”.
LA POSIZIONE DEL COLOSSO DI REDMOND
Microsoft ha affermato sul suo blog che le sue indagini su altri attori che utilizzano questi exploit “sono ancora in corso”. La società ha affermato di avere “elevata fiducia” nel fatto che gli hacker “continueranno a integrarli nei loro attacchi”.
“Allo stesso tempo, ci opponiamo fermamente anche a diffamare altri senza prove concrete”, ha precisato Microsoft. “Auspichiamo che le parti interessate adottino un atteggiamento professionale e responsabile nel caratterizzare gli incidenti informatici, basando le proprie conclusioni su prove sufficienti piuttosto che su speculazioni e accuse infondate”.
COSA SOSTIENE GOOGLE MANDIANT
Charles Carmakal, responsabile tecnico dell’unità di risposta agli incidenti di Google Mandiant, ha dichiarato in una nota ripresa dai media a che “almeno uno degli attori responsabili” era un gruppo di hacker con legami con la Cina, ma ha osservato che “diversi attori stanno ora sfruttando attivamente questa vulnerabilità”.
LA REPLICA DI PECHINO
Stamani, l’Ambasciata cinese negli Stati Uniti ha respinto le affermazioni secondo cui i recenti attacchi informatici ai server SharePoint di Microsoft sarebbero collegati alla Cina.
Nello specifico, Liu Pengyu, portavoce dell’Ambasciata cinese negli Stati Uniti, ha sottolineato che gli attacchi informatici sono una minaccia comune a tutti i paesi e che anche la Cina ne è vittima. Liu ha ribadito la posizione “coerente e chiara” della Cina, che si oppone fermamente e reprime ogni forma di attacco informatico e criminalità informatica. “Allo stesso tempo, ci opponiamo fermamente anche a diffamare altri senza prove concrete”, ha concluso il portavoce.
FOCUS DI SICUREZZA PER IL COLOSSO DI REDMOND
Infine, la violazione riecheggia quello del 2021, quando una falla in un altro prodotto Microsoft, il programma di posta elettronica Exchange, ha consentito agli hacker di violare i dati di 22 organizzazioni e centinaia di individui, tra cui l’ex Segretario al Commercio degli Stati Uniti Gina Raimondo. In quel caso, gli Stati Uniti hanno formalmente accusato la Cina di spiare le email governative, ma un comitato di revisione ha anche incolpato Microsoft di averlo permesso.
Ad aprile del 2024 un severo rapporto del Cyber Safety Review Board (CSRB), un gruppo incaricato dalla Casa Bianca e progettato per esaminare i principali attacchi informatici, ha affermato che la “cultura della sicurezza di Microsoft era inadeguata”.
