Campagne de piratage visant Microsoft SharePoint
Une campagne de piratage visant des serveurs de Microsoft SharePoint a récemment été détectée, révélant l'existence de failles de sécurité jusqu'alors inconnues au sein de ce service utilisé mondialement pour le partage de fichiers. Au moins trois acteurs, originaire de Chine, ont exploité ces failles pour mener des attaques.
Révélation des failles de sécurité
Microsoft a alerté sur ces failles de sécurité le samedi 19 juillet, mettant en lumière une vulnérabilité critique permettant l'exécution de code malveillant sur les serveurs de SharePoint. Cette faille ouvre la porte au vol de données et à des campagnes d'espionnage, ayant déjà été exploitée par des attaquants.
Réponse de Microsoft et investigations en cours
Des correctifs ont été publiés pour combler ces failles de sécurité, mais le flou persiste quant au nombre de victimes affectées. Les experts cherchent désormais à identifier les pirates responsables de ces attaques et à renforcer la sécurité des serveurs vulnérables. ## Trois acteurs chinois identifiés dans des attaques contre des instances SharePoint
Les équipes de sécurité ont identifié au moins trois acteurs attaquant des instances SharePoint, tous soupçonnés d’opérer de la Chine. Parmi eux, deux sont considérés comme des groupes étatiques : Violet Typhoon, plus connu sous le nom d’APT 31, et soupçonné de nombreuses campagnes d’espionnage en ligne pour le compte des autorités chinoises depuis une dizaine d’années. L’autre groupe vraisemblablement proche du gouvernement chinois est APT 27, également connu sous le nom de Linen Typhoon. Récemment visé par un acte d’inculpation américain, il est accusé d’avoir orchestré des campagnes d’espionnage consistant à voler des données puis à les revendre par la suite. Le troisième groupe est soupçonné de s’appuyer sur les vulnérabilités de SharePoint pour déployer des rançongiciels, des outils malveillants conçus pour paralyser des ordinateurs et des réseaux.
Des victimes encore inconnues
La plus grande zone d’ombre concerne, à ce stade, l’identité des victimes de ces piratages. Contacté par l’agence de presse Bloomberg, le département de l’énergie américain a confirmé qu’un « petit nombre de systèmes » avaient été touchés. Pour l’heure, le seul bilan global émane d’une entreprise spécialisée en sécurité informatique, Eye Security, qui a publié son analyse de cette campagne dès le 19 juillet : elle fait état de 400 serveurs compromis au cours de trois vagues successibles de cyberattaques.
Menace persistante contre les instances SharePoint
Les acteurs chinois continuent de représenter une menace persistante contre les instances SharePoint. Les groupes APT 31 et APT 27 sont connus pour leurs activités d’espionnage en ligne, tandis que le troisième groupe exploite les vulnérabilités de SharePoint pour déployer des rançongiciels. Les équipes de sécurité mettent en garde contre ces attaques et recommandent aux organisations de renforcer leur cybersécurité pour se prémunir contre de telles menaces.