O cenário global de cibersegurança continua a apresentar desafios significativos para as empresas, conforme destacado pela recente divulgação da Microsoft sobre um ciberataque sofisticado ao seu amplamente utilizado sistema de compartilhamento de arquivos SharePoint. A gigante da tecnologia identificou três grupos de hackers sediados na China como responsáveis pela intrusão em andamento, sublinhando a ameaça persistente representada por atores patrocinados por estados que visam infraestruturas críticas de negócios e dados sensíveis.
- A Microsoft revelou um ciberataque sofisticado no sistema SharePoint.
- Três grupos chineses — Linen Typhoon, Violet Typhoon e Storm-2603 — foram identificados como responsáveis pela intrusão.
- Vulnerabilidades em servidores SharePoint locais estão sendo exploradas desde 19 de julho.
- Os ataques visam roubo de propriedade intelectual, espionagem e, potencialmente, implementação de ransomware.
- A Microsoft lançou atualizações de segurança e instou os clientes a aplicá-las imediatamente para mitigar riscos.
Contexto do Ataque e Alerta Inicial
A Microsoft alertou os usuários pela primeira vez sobre vulnerabilidades que afetavam os servidores SharePoint locais em 19 de julho, detalhando como os atacantes exploraram falhas relacionadas a falsificação de identidade (spoofing) e execução remota de código. O SharePoint, uma plataforma colaborativa concebida para o compartilhamento seguro de informações dentro das organizações, tornou-se um vetor para estes grupos que buscavam acesso não autorizado. A investigação subsequente levou a Microsoft a atribuir publicamente a campanha a entidades específicas.
Atores da Ameaça e Seus Perfis Operacionais
Identificação dos Grupos Atacantes
O Centro de Resposta de Segurança da empresa identificou dois atores de estado-nação chineses, Linen Typhoon e Violet Typhoon, como explorando ativamente estas vulnerabilidades em servidores SharePoint expostos à internet. Adicionalmente, um terceiro ator de ameaça sediado na China, rastreado como Storm-2603, foi observado a envolver-se em atividades exploratórias semelhantes. Este ataque multifacetado demonstra um esforço coordenado ou paralelo por parte de grupos sofisticados.
Linen Typhoon: Foco em Propriedade Intelectual
A análise dos atores da ameaça revela focos operacionais distintos. O Linen Typhoon, ativo desde 2012, concentra-se principalmente no roubo de propriedade intelectual, visando especificamente organizações envolvidas com governo, defesa, planejamento estratégico e direitos humanos. Este grupo é conhecido por aproveitar exploits existentes e “comprometimentos por drive-by” para infiltrar organizações.
Violet Typhoon: Especialistas em Espionagem
O Violet Typhoon, em operação desde 2015, especializa-se em espionagem. Os seus alvos abrangem ex-pessoal governamental e militar, organizações não governamentais, think tanks, instituições de ensino superior, mídia digital e impressa, bem como os setores financeiro e de saúde nos EUA, Europa e Leste Asiático. Este grupo tipicamente busca vulnerabilidades em infraestruturas web expostas para instalar “web shells” e obter acesso persistente.
Storm-2603 e Resposta da Microsoft
Menos informações estão disponíveis sobre o Storm-2603. A Microsoft avalia este como um ator de ameaça baseado na China com confiança média, notando que não foram estabelecidas conexões diretas a outros grupos de hacking chineses conhecidos. Embora este grupo tenha sido observado a implementar ransomware no passado, os seus objetivos atuais na campanha SharePoint permanecem não confirmados. Em resposta a estas ameaças contínuas, a Microsoft lançou atualizações de segurança para todas as versões do SharePoint, instando os clientes a aplicar estes patches imediatamente para mitigar riscos e proteger os seus sistemas.