Uma alteração de segurança que a Microsoft lançou este mês não conseguiu corrigir totalmente uma falha crítica no software SharePoint da gigante de tecnologia dos EUA, abrindo a porta para um amplo ataque hacker que atingiu empresas estatais, universidades e agências governamentais, como mostra uma linha do tempo analisada pela Reuters.
Na terça-feira (22), um porta-voz da Microsoft confirmou que a solução inicial da empresa para a falha, identificada em uma competição de hackers em maio, não funcionou, mas acrescentou que lançou outros patches que resolveram o problema.
Ainda não está claro quem está por trás do ataque hacker, que teve como alvo cerca de 100 organizações durante o fim de semana, e espera-se que se espalhe à medida que outros hackers entrem na briga.
Em uma postagem de blog, a Microsoft disse que dois grupos de hackers supostamente chineses, chamados de Linen Typhoon e Violet Typhoon, estavam explorando os pontos fracos, juntamente com um terceiro, também baseado na China.
A Microsoft e o Google, da Alphabet, disseram que hackers ligados à China provavelmente estão por trás da primeira onda de ataques cibernéticos.
Os agentes ligados ao governo chinês são regularmente implicados em ataques cibernéticos, mas Pequim nega rotineiramente essas operações.
Em uma declaração enviada por email, a embaixada chinesa em Washington disse que a China se opõe a todas as formas de ataques cibernéticos e a “difamar os outros sem provas sólidas”.
A vulnerabilidade que abriu caminho para o ataque foi identificada pela primeira vez em maio, em uma competição de hackers em Berlim, organizada pela empresa de segurança cibernética Trend Micro, que ofereceu recompensas em dinheiro para a descoberta de bugs de computador em softwares populares.
Ela ofereceu um prêmio de US$ 100 mil para as chamadas explorações de “Dia Zero” (chamadas assim por não terem sido identificadas antes) que aproveitassem fraquezas digitais e que pudessem ser usadas contra o SharePoint, a principal plataforma de colaboração e gerenciamento de documentos da Microsoft.
A Administração Nacional de Segurança Nuclear dos EUA, encarregada de manter e projetar o estoque de armas nucleares do país, estava entre as agências violadas, informou a Bloomberg News na terça-feira, citando uma pessoa com conhecimento do assunto.
Não se sabe se alguma informação sensível ou confidencial foi comprometida, acrescentou.
O Departamento de Energia dos EUA, a Agência de Segurança Cibernética e de Infraestrutura dos EUA e a Microsoft não responderam imediatamente aos pedidos da Reuters para comentar a reportagem.
Um pesquisador do braço de segurança cibernética da Viettel, uma empresa de telecomunicações administrada por militares do Vietnã, identificou uma falha no SharePoint no evento de maio, chamou-a de “ToolShell” e demonstrou uma maneira de explorá-la.
A descoberta rendeu ao pesquisador um prêmio de US$ 100 mil, segundo uma postagem no X (antigo Twitter) da “Zero Day Initiative” da Trend Micro.
Os fornecedores participantes foram responsáveis por corrigir e divulgar as falhas de segurança de “maneira eficaz e oportuna”, disse a Trend Micro em um comunicado.
“Os patches ocasionalmente falharão”, acrescentou. “Isso já aconteceu com o SharePoint no passado.”
Em uma atualização de segurança de 8 de julho, a Microsoft disse que havia identificado o bug, listou-o como uma vulnerabilidade crítica e lançou patches para corrigi-lo.
Cerca de 10 dias depois, no entanto, as empresas de segurança cibernética começaram a notar um fluxo de atividades online mal-intencionadas direcionadas ao mesmo software que o bug procurava explorar: Servidores SharePoint.
“Os agentes da ameaça desenvolveram posteriormente explorações que parecem contornar essas correções”, disse a empresa britânica de segurança cibernética Sophos em um post de blog na segunda-feira (21).
O conjunto de possíveis alvos do ToolShell continua vasto.
Teoricamente, os hackers já poderiam ter comprometido mais de 8.000 servidores online, segundo dados do mecanismo de busca Shodan, que ajuda a identificar equipamentos conectados à Internet.
Esses servidores estavam em redes que vão desde auditores, bancos, empresas de saúde e grandes empresas industriais até órgãos governamentais estaduais e internacionais dos EUA.
Com reportagem adicional de Raphael Satter, AJ Vicens e Dheeraj Kumar
