Увесь світ говорить про хакерську атаку через SharePoint: хто за цим стоїть і хто постраждав

Що відомо про атаки через SharePoint і хто за ними стоїть?

Хакерська кампанія розпочалась 7 липня 2025 року, коли зловмисники почали активно експлуатувати критичну вразливість у локальних серверах Microsoft SharePoint. Дослідники безпеки з нідерландської компанії Eye Security, які першими виявили масове використання вразливості ввечері 18 липня, спочатку зафіксували десятки скомпрометованих організацій, але потім повідомили, що кількість жертв зросла до 400, пише 24 Канал.

Усе почалося з того, що Eye Security побачила підозрілу активність на SharePoint-сервері одного з клієнтів. Сканування понад 8000 серверів SharePoint по всьому світу показало десятки активно скомпрометованих систем.

Що таке SharePoint?

Microsoft SharePoint – це багатофункціональна веб-платформа, призначена для спільної роботи, управління документами та контентом в організаціях. Вона дозволяє централізувати доступ до корпоративної інформації та додатків, створюючи внутрішні корпоративні сайти, які слугують безпечним місцем для зберігання, організації, спільного використання та доступу до даних з будь-якого пристрою за допомогою браузера. Скільки користувачів має цей сервіс сьогодні, невідомого, але станом на грудень 2020 року, платформою користувалося понад 200 мільйонів людей.

Основні сценарії використання:

• Управління корпоративним контентом та документами.
• Створення інтранет-порталів та соціальних мереж.
• Спільна робота в групах.
• Персональне хмарне сховище.
• Розробка користувацьких веб-додатків.
• Автоматизація робочих процесів.
• Пошук та аналітика.
• Безпека та адміністрування.

Технічні деталі атаки

Вразливість отримала назву "ToolShell" від дослідника Дінь Хо Ань Хоа з Viettel Cyber Security, який першим виявив її на хакерському змаганні Pwn2Own у Берліні в травні 2025 року. За свою знахідку він отримав винагороду у розмірі 100 тисяч доларів. Атака використовує ланцюжок з двох критичних вразливостей: CVE-2025-53770 (оцінка CVSS 9.8) та CVE-2025-53771 (оцінка CVSS 6.3). Перша дозволяє віддалене виконання коду, а друга – обхід автентифікації через підробку заголовків HTTP.

Зловмисники надсилають спеціально сформований POST-запит до кінцевої точки /_layouts/15/ToolPane.aspx з підробленим заголовком Referer: /_layouts/SignOut.aspx, що дозволяє обійти перевірку автентифікації. Після успішної експлуатації вони завантажують веб-оболонку з назвою spinstall0.aspx, яка витягує криптографічні ключі SharePoint.

Хто за цим стоїть?

Microsoft офіційно підтверджує, що за експлуатацією вразливості, яку вона не виправляла два місяці, стоять три китайські хакерські групи. Компанія виявила участь двох відомих державних акторів: Linen Typhoon та Violet Typhoon, а також третьої групи Storm-2603.

• Linen Typhoon (також відома як APT27, Emissary Panda, Bronze Union) діє з 2012 року і спеціалізується на крадіжці інтелектуальної власності. Група переважно націлюється на організації, пов'язані з урядом, оборонною сферою, стратегічним плануванням та правами людини.
• Violet Typhoon (APT31, Bronze Vinewood, Judgment Panda) активна з 2015 року і займається шпигунством. Вона в основному атакує колишніх урядовців та військових, неурядові організації, аналітичні центри, вищі навчальні заклади, медіа, фінансові та медичні установи в США, Європі та Східній Азії.
• Storm-2603 – менш відома група, щодо китайського походження якої Microsoft має "середню впевненість". Раніше вона використовувала програми-вимагачі Warlock та Lockbit. Її поточні цілі наразі лишаються незрозумілими.

Хто постраждав?

Серед найбільш резонансних жертв – Національне управління ядерної безпеки США (NNSA), напівавтономне агентство в складі Міністерства енергетики, яке відповідає за проєктування, обслуговування та транспортування американського ядерного арсеналу.

Речник Міністерства енергетики підтвердив, що експлуатація вразливості SharePoint почалася 18 липня й торкнулася всього департаменту, включаючи NNSA.

Департамент зазнав мінімального впливу завдяки широкому використанню хмарної платформи Microsoft M365 та дуже ефективних систем кібербезпеки,
– заявив прес-секретар Міністерства енергетики Бен Дітдеріх в інтерв'ю BleepingComputer.

Окрім NNSA, постраждали також Міністерство освіти США, Департамент доходів Флориди, Генеральна асамблея Род-Айленда, а також урядові агентства в Європі та на Близькому Сході.

Як зреагувала Microsoft?

Microsoft випустила екстрені оновлення безпеки 19 липня для SharePoint Subscription Edition та SharePoint Server 2019, а 21 липня – для SharePoint Server 2016. Компанія також рекомендує організаціям провести ротацію ключів машини SharePoint Server ASP.NET та увімкнути інтерфейс сканування антивірусних програм (AMSI).

Агентство кібербезпеки США (CISA) додало CVE-2025-53770 до свого каталогу відомих експлуатованих вразливостей з терміновим дедлайном для усунення.

Експерти також попереджають, що організації з локальними серверами SharePoint, підключеними до інтернету, повинні вважати свої системи скомпрометованими.

Що каже Китай?

Китайський уряд заперечує будь-яку причетність до атак. Посольство Китаю у Вашингтоні заявило, що "Китай рішуче виступає проти всіх форм кібератак та кіберзлочинів" і закликало "приймати професійне та відповідальне ставлення при характеристиці кіберінцидентів".

Що далі?

За оцінками дослідників з Censys, понад 10 тисяч організацій у світі можуть бути під загрозою через цю вразливість. Найбільша кількість потенційно вразливих серверів знаходиться в США, за ними йдуть Нідерланди, Велика Британія та Канада.

Експерти з Palo Alto Networks назвали цю вразливість "мрією для операторів вимагачів", оскільки вона дозволяє зловмисникам отримати повний контроль над серверами та переміщатися корпоративними мережами. Дослідники попереджають, що кампанія, ймовірно, триватиме, оскільки інші хакерські групи також намагатимуться використати цю вразливість. Саме тому кожна організація, що використовує SharePoint, повинна якнайшвидше провести оновлення системи.