To miał być spokojny, wakacyjny lipiec w świecie IT — aż do momentu, gdy eksperci od cyberbezpieczeństwa zorientowali się, że coś dzieje się z serwerami SharePoint na całym świecie. W pierwszej połowie miesiąca pojawiły się sygnały o masowych włamaniach do wewnętrznych systemów organizacji korzystających z serwerowej wersji tego popularnego narzędzia Microsoftu. Choć z pozoru mogło wyglądać to jak kolejna złośliwa kampania cyberprzestępców żerujących na zaniedbanych aktualizacjach, szybko okazało się, że sprawa ma zupełnie inny kaliber.
Atak objął już setki podmiotów: od amerykańskich agencji federalnych, przez uczelnie i firmy energetyczne, po instytucje rządowe w Azji i Europie – w tym także w Polsce. Jego zasięg, koordynacja oraz dobór celów wskazują, że nie mamy do czynienia z chaotycznym sabotażem, lecz z akcją o charakterze wywiadowczym, prowadzoną przez dobrze zorganizowane grupy powiązane z konkretnym krajem. W tym przypadku — według Microsoftu oraz niezależnych analityków — chodzi o Chiny.
W centrum całej kampanii znajduje się luka bezpieczeństwa w serwerowej wersji SharePointa — czyli tej instalowanej lokalnie w infrastrukturze organizacji, w przeciwieństwie do chmurowego Microsoft 365. To właśnie tu, w środowiskach często mniej aktualizowanych i trudniejszych do kontrolowania z zewnątrz, atakujący znaleźli podatności, które pozwoliły im przejąć kontrolę nad serwerami, kraść dane, wgrywać backdoory, a nawet wdrażać ransomware.
Od pierwszego sygnału do globalnej kampanii
Z perspektywy czasu trudno wskazać jeden konkretny moment, w którym rozpoczął się atak. Eksperci oceniają, że działania intruzów mogły trwać nawet kilka tygodni, zanim zostały wykryte. Pierwsze ślady niepokojącej aktywności zauważyły systemy ESET 17 lipca — wówczas zidentyfikowano podejrzany ruch na serwerze SharePoint w Niemczech. Dzień później, we Włoszech, odkryto obecność złośliwego oprogramowania w podobnym środowisku. To był dopiero początek.
W ciągu kilku dni incydenty zaczęły się mnożyć. Analitycy z Shadowserver Foundation i Censys donosili o kolejnych setkach serwerów z otwartymi portami i potencjalnie narażonych konfiguracjach. W połowie tygodnia liczba serwerów podatnych na atak przekroczyła dziewięć tysięcy. Do końca trzeciego tygodnia lipca potwierdzono włamania w co najmniej trzystu organizacjach — w tym w Stanach Zjednoczonych, Hiszpanii, Wietnamie, Brazylii i Polsce.
W miarę jak kolejne ofiary zaczęły zgłaszać incydenty, jasne stało się, że atak ma charakter zorganizowany i przebiega zgodnie z jasno wytyczonym planem. Narzędzia używane przez napastników, sposób poruszania się po infrastrukturze, a nawet logika doboru celów — wszystko wskazywało na operację cyberszpiegowską, a nie przypadkowe działania przestępców. Jak ujawnił Microsoft, za większością ataków stały trzy grupy hakerskie: Linen Typhoon, Violet Typhoon i Storm-2603 — wszystkie przypisywane Chinom i znane z wcześniejszych kampanii szpiegowskich wymierzonych w administrację publiczną, instytucje naukowe oraz firmy z sektora strategicznego.
Jak przeprowadzono cyberatak?
Atak na SharePoint nie był dziełem przypadku ani prostego błędu konfiguracyjnego. To była starannie zaplanowana i technicznie złożona operacja, zbudowana na fundamencie łańcucha podatności, nazwanego przez badaczy „ToolShell”. Łączył on kilka poważnych błędów w serwerowej wersji SharePointa, w tym podatności CVE-2025-49704, CVE-2025-49706, CVE-2025-53770 i CVE-2025-53771.
Najgroźniejszą z nich okazała się luka związana z tzw. deserializacją danych — sytuacją, w której aplikacja przyjmuje dane z zewnątrz i przekształca je na instrukcje, nie weryfikując ich pochodzenia ani zawartości. W efekcie atakujący mógł „przemycić” własny kod, który następnie był wykonywany przez serwer z pełnymi uprawnieniami. Równolegle wykorzystywano też technikę path traversal — pozwalającą na dostęp do plików systemowych spoza przewidzianych katalogów — oraz spoofing sieciowy, czyli podszywanie się pod inne maszyny w sieci.
Dzięki tym lukom cyberprzestępcy uzyskiwali zdalny dostęp do systemów SharePoint i instalowali tzw. webshelle — małe pliki z kodem umożliwiające dalsze działania z poziomu przeglądarki internetowej. Takie backdoory były ukrywane w pozornie niewinnych lokalizacjach serwera, a następnie wykorzystywane do dalszej eskalacji uprawnień. Atakujący często sięgali po dobrze znane narzędzia ofensywne, takie jak Mimikatz (służące do kradzieży haseł z pamięci operacyjnej systemu), PsExec (do zdalnego wykonywania poleceń), czy biblioteki Impacket i WMI, które pozwalają na przemieszczanie się między komputerami w sieci ofiary.
Z czasem niektóre z grup — zwłaszcza Storm-2603 — zaczęły wykorzystywać przejęte systemy nie tylko do szpiegowania, ale także do wdrażania ransomware. Zainfekowane serwery, po uzyskaniu pełnego dostępu, były wykorzystywane do rozsyłania złośliwego oprogramowania szyfrującego dane i żądającego okupu. Co istotne, infekcje miały miejsce nawet po zaaplikowaniu aktualizacji zabezpieczeń — ponieważ napastnicy wcześniej wykradali tzw. Machine Keys, czyli klucze kryptograficzne pozwalające na ponowny dostęp do systemu mimo późniejszych zabezpieczeń.
– W sytuacji masowej eksploatacji zagrożenia administratorzy powinni niezwłocznie podjąć działania dla wszystkich serwerów SharePoint w swojej infrastrukturze — radzi Stephen Fewer, główny badacz bezpieczeństwa w Rapid7. — Zalecamy wdrażanie poprawek dostarczonych przez Microsoft w trybie pilnym, bez czekania na standardowy cykl aktualizacji.
Globalna skala, lokalne skutki. Kto ucierpiał i jak zareagowano?
W ciągu niespełna dwóch tygodni od pierwszych oficjalnych sygnałów o ataku zidentyfikowano setki zainfekowanych organizacji. Informacje zbierane przez zespoły badawcze, w tym Shadowserver, LeakIX i Censys, pokazywały, że zagrożonych było ponad dziewięć tysięcy instancji SharePointa działających lokalnie. Z kolei liczba zarejestrowanych i zgłoszonych przypadków włamań przekroczyła czterysta.
Najwięcej uwagi mediów skupiło się na sektorze publicznym Stanów Zjednoczonych. Zaatakowane zostały między innymi systemy Departamentu Energii, w tym jego kluczowej jednostki — National Nuclear Security Administration, odpowiedzialnej za zarządzanie amerykańskim arsenałem jądrowym. Choć NNSA zapewniła, że naruszenie objęło jedynie „bardzo ograniczoną liczbę systemów” i nie doszło do wycieku informacji niejawnych, sama obecność intruzów w tej instytucji wywołała poważne zaniepokojenie.
Podobny incydent odnotowano w Narodowym Instytucie Zdrowia (NIH), gdzie awaryjnie odłączono osiem serwerów SharePoint, z których jeden został przejęty przez atakujących. Również Departament Zdrowia i Opieki Społecznej (HHS) przyznał, że stał się celem ataku i prowadzi działania monitorujące. W Europie włamania zidentyfikowano m.in. we Włoszech, Niemczech i Hiszpanii, a w Azji — w Wietnamie. W niektórych przypadkach ataki doprowadziły do czasowego odcięcia dostępu do repozytoriów dokumentów i danych operacyjnych, co rodzi pytania o trwałość tych naruszeń.
Polska nie pozostała poza zasięgiem zagrożenia. Systemy ESET wykryły w naszym kraju aktywność narzędzia ToolShell, co oznacza, że przynajmniej część infrastruktury lokalnych organizacji została zaatakowana. Choć szczegóły dotyczące konkretnych instytucji nie zostały ujawnione, eksperci alarmują, że w wielu przypadkach mogło dojść do nieautoryzowanego dostępu do danych lub trwałego osadzenia się złośliwego oprogramowania w sieciach firm i urzędów.
– Ten incydent jasno pokazuje, że cyberzagrożenia to realne ryzyko operacyjne i strategiczne, które dotyczy zarówno biznesu, jak i administracji publicznej. W obliczu coraz śmielszych działań grup powiązanych z państwami, takimi jak Chiny, konieczne jest systemowe podejście do cyberbezpieczeństwa: od inwestycji w zaawansowane systemy wykrywania zagrożeń, przez procedury reagowania, po kulturę bezpieczeństwa w organizacji — komentuje Kamil Sadkowski, analityk laboratorium antywirusowego ESET.
W odpowiedzi na rosnącą skalę zagrożenia Microsoft w trybie awaryjnym opublikował kolejne aktualizacje zabezpieczeń oraz szczegółowe zalecenia dotyczące m.in. rotacji kluczy szyfrujących, restartu usług oraz integracji z Antimalware Scan Interface. Agencja CISA wydała publiczne ostrzeżenie o aktywnej eksploatacji luk w SharePoint, a FBI oraz Departament Bezpieczeństwa Krajowego USA rozpoczęły własne śledztwa. Firmy prywatne i instytucje rządowe w wielu krajach podjęły działania kryzysowe — od analizy logów i izolacji zainfekowanych systemów po wdrażanie zupełnie nowych polityk bezpieczeństwa.
Tymczasem dane z polskiego rynku nie napawają optymizmem. Według ESET aż 80 procent firm w Polsce doświadczyło w ostatnich latach incydentu związanego z cyberbezpieczeństwem — od wycieku danych po ataki ransomware. Tylko 59 procent korzysta z profesjonalnego oprogramowania ochronnego, a jedynie co trzecia firma przeprowadza regularne testy penetracyjne. Jeszcze gorzej wygląda sytuacja z monitorowaniem aktywności w sieci — zaledwie 34 procent organizacji wdrożyło systemy pozwalające wykrywać nietypowe działania.
Równie alarmujący jest poziom świadomości pracowników. Ponad połowa nigdy nie przeszła szkolenia z cyberbezpieczeństwa, a mniej niż połowa wie, jak reagować na zagrożenie. W dobie, gdy cyberataki są nie tylko narzędziem przestępczości, ale i instrumentem polityki międzynarodowej, takie statystyki stają się nie tylko niepokojące — stają się nieakceptowalne.
Microsoft pod presją. Co dalej z bezpieczeństwem systemów krytycznych?
Gdy Microsoft opublikował pierwsze ostrzeżenia i poprawki związane z lukami w SharePoint, część ekspertów odetchnęła z ulgą — przynajmniej na chwilę. Szybko okazało się jednak, że aktualizacje nie rozwiązują wszystkich problemów. Niektóre wręcz ułatwiły analizę mechanizmów ataku innym grupom przestępczym. To klasyczny paradoks cyberbezpieczeństwa: im więcej wiemy o luce, tym więcej wiedzą też ci, którzy chcą ją wykorzystać.
Firma próbowała nadrobić zaległości, publikując kolejne patche i poradniki dla administratorów. Sugerowano m.in. integrację SharePointa z mechanizmem Antimalware Scan Interface (AMSI), natychmiastową rotację tzw. Machine Keys oraz restart usług IIS po aktualizacji. Dla organizacji, które nadal korzystają z wersji on-premises, to lista działań wręcz obowiązkowych. Microsoft objął ochroną swoje edycje z linii 2016, 2019 i Subscription Edition. Mimo to nie brakowało głosów, że reakcja była spóźniona.
Krytyka dotyczyła nie tylko czasu odpowiedzi, ale także samego modelu rozwoju produktów Microsoftu. Coraz częściej pojawiają się pytania, dlaczego tak kluczowe komponenty, jak SharePoint on-premises, nie są objęte równie restrykcyjnym nadzorem jak usługi chmurowe. Zarzucono także firmie, że wiele zespołów odpowiedzialnych za zabezpieczenia podstawowych produktów zostało w ostatnich latach rozwiązanych lub zdecentralizowanych. To cięcie kosztów właśnie odbiło się amerykańskiemu gigantowi paskudną czkawką.
Jednocześnie CISA i inne agencje rządowe w USA próbują utrzymać kontrolę nad sytuacją. Choć wiele ofiar ataku współpracuje z FBI i zespołami reagowania kryzysowego, problemem okazują się niedobory kadrowe i finansowe po stronie państwowych struktur cyberbezpieczeństwa. Według doniesień medialnych CISA boryka się z ograniczonym budżetem oraz wysoką rotacją specjalistów — co tylko pogłębia problem opóźnionej reakcji na zagrożenia, takie jak atak na SharePoint.
Z kolei rząd Chin — którego powiązania z grupami atakującymi wskazuje zarówno Microsoft, jak i niezależni badacze — tradycyjnie zaprzeczył, by miał cokolwiek wspólnego z incydentem.
– Chiny sprzeciwiają się wszelkim formom cyberataków i działają zgodnie z prawem w celu ich zwalczania. Odrzucamy oskarżenia i oczernianie naszego kraju pod pretekstem cyberbezpieczeństwa – brzmi oficjalne stanowisko rzecznika chińskiego MSZ.
Mimo tych zaprzeczeń przekaz pozostaje jasny — nawet jeśli nie da się jednoznacznie udowodnić centralnego sterowania operacją, istnieją mocne przesłanki świadczące o powiązaniach tych grup z chińską polityką bezpieczeństwa. Działania Linen Typhoon, Violet Typhoon i Storm-2603 mają historię celowania w instytucje strategiczne: rządy, firmy zbrojeniowe, organizacje akademickie czy media. Teraz — po raz kolejny — potwierdziły, że w cyfrowej rzeczywistości można prowadzić wywiad, sabotaż i szantaż równie skutecznie, co w świecie fizycznym.
Podsumowanie: nowa rzeczywistość cyberwojny
Atak na Microsoft SharePoint to precyzyjnie zaplanowana kampania, wymierzona w globalne łańcuchy komunikacji i danych. Trudno o lepszy dowód, że cyberzagrożenia nie dotyczą już tylko odległych państw czy instytucji z pierwszych stron gazet — obejmują każdy kraj, każdą firmę i każdy serwer działający bez odpowiedniej ochrony.
To również pokaz tego, jak umowna jest granica między środowiskiem IT a realną infrastrukturą społeczną. Skutki naruszenia systemów Departamentu Energii czy operatorów energetycznych mogą być odczuwalne fizycznie — od przerw w dostawie prądu po zakłócenia w badaniach medycznych. W tej nowej rzeczywistości cyberataki to nie incydenty informatyczne, lecz narzędzia brutalnej geopolityki.
Microsoft — choć nie po raz pierwszy znalazł się pod ostrzałem — stoi teraz przed kolejnym sprawdzianem wiarygodności. Z kolei organizacje, które nadal opierają się na infrastrukturze lokalnej bez odpowiedniego wsparcia i monitoringu, muszą zrewidować swoje podejście. Bo następny atak może nie tylko przejąć dane — może unieruchomić całe instytucje.
– Dla podmiotów korzystających z Microsoft SharePoint – niezależnie od sektora – kluczowe jest szybkie wdrożenie dostępnych poprawek i aktywne monitorowanie środowiska IT. Współczesne ataki są coraz bardziej wyrafinowane, a wykorzystywane luki mogą pozostawać niezauważone przez długi czas – jak miało to miejsce w przypadku tej podatności. Dlatego proaktywne podejście, obejmujące nie tylko reakcję, ale i przygotowanie na przyszłe zagrożenia, powinno stać się standardem w każdej odpowiedzialnej organizacji.
W sytuacji, w której cyberbezpieczeństwo staje się elementem odporności państwa i gospodarki, dalsze odkładanie inwestycji w tę sferę nie powinno wchodzić w grę – to kwestia ciągłości działania, zaufania klientów i odpowiedzialności instytucjonalnej — podsumowuje Kamil Sadkowski z ESET.
źródła: informacja prasowa, technologymagazine.com, hackread.com, thehackernews.com, cybersecuritydive.com
Dodaj komentarz