黑客如何在全球网络攻击中瞄准微软SharePoint——彭博社

香港，有人正在使用微软公司的Surface平板电脑。摄影师：Billy H.C. Kwok/彭博社最近几周，黑客利用微软公司开发的文档管理系统SharePoint中的漏洞，试图从数百名受害者那里窃取敏感数据。

7月22日，微软指控与中国政府有关的黑客入侵了美国及全球各地企业和政府机构的计算机系统。已知受害者名单包括美国教育部和国家核安全管理局，后者负责保护美国的核武器，彭博社报道。

安全专家表示，这起网络间谍活动的规模——以受害者数量和泄露信息的敏感性来衡量——可能需要数月甚至数年才能完全了解。以下是需要知道的关键信息。

黑客如何利用SharePoint漏洞？

SharePoint是一款数据存储和协作软件产品，允许组织成员在内部通过多种设备共享和访问信息。由于该软件在线使用，黑客可以扫描互联网寻找包含漏洞代码的服务器。黑客通常会尽可能多地针对易受攻击的系统发起自动化攻击，这就是为什么受害者数量会迅速增加。

微软表示，针对部分SharePoint客户的攻击利用了其软件中的两个漏洞。第一个是"欺骗"漏洞，当计算机系统未能正确验证用户身份时就会出现此问题。就SharePoint而言，验证漏洞使黑客能够通过模仿合法用户访问易受攻击的服务器。第二个漏洞允许攻击者伪装成具有高级访问权限的用户，在SharePoint服务器上远程安装恶意软件，从而窃取数据。

部分SharePoint服务器由客户托管在自己的IT网络中，另一些则托管在微软的云计算基础设施上。7月的网络攻击仅影响前一类服务器。

黑客是谁？

微软在声明中指控中国国家支持的黑客组织"亚麻台风"和"紫罗兰台风"利用这些漏洞进行攻击，同时被列为攻击者的还有Storm-2603——该组织被"中等可信度评估"为基于中国的团体。微软7月23日表示，黑客还利用这些软件漏洞发动了勒索软件攻击。

“紫罗兰台风"是一个长期针对全球知名政府官员和军事人员的间谍组织。相比之下，“亚麻台风"则以窃取知识产权而闻名。（不同网络安全公司对同一组织有不同命名，微软在其命名规则中使用了气象主题。）

中国官员多次表示，谴责任何形式的网络攻击或网络犯罪。

哪些类型的用户受到影响？

荷兰网络安全公司Eye Security估计，全球约有400家政府机构、企业和其他组织在此次攻击中遭到入侵。知情人士向彭博社透露，受害者包括美国、欧洲和中东的政府机构。

据未获授权公开讨论此事的知情人士称，在美国，黑客已入侵美国国家核安全管理局、教育部、佛罗里达州税务局和罗德岛州议会的系统。

根据一家因信息敏感要求匿名的网络安全公司报告，黑客还入侵了美国某医疗保健服务商的系统，并针对东南亚一所公立大学发起攻击。报告未透露具体机构名称，但指出黑客试图入侵巴西、加拿大、印尼、西班牙、南非、瑞士、英国和美国等多国服务器。7月23日新增已知受害者包括南非国家财政部，该部门表示在内部网络发现恶意软件后正寻求微软协助。

黑客获取了哪些信息？

数据泄露的具体范围尚不明确。

据一位未被授权公开谈论此事并要求匿名的人士透露，国家核安全管理局遭受的攻击尚未发现任何敏感或机密信息被泄露。

佛罗里达州税务局发言人贝瑟尼·韦斯特·卡蒂略在邮件中表示，SharePoint漏洞正在"政府多个层级"接受调查，但该州机构"不会公开评论我们用于运营的软件”。

过往类似的网络间谍活动曾使攻击者能收集各类信息——例如电子邮件账户和商业机密——这些对外国政府可能具有价值。目前尚无法确定本次事件中具体哪些数据遭泄露。

微软如何应对？

在5月通过柏林黑客大赛获知两个SharePoint漏洞后，微软于7月8日发布补丁，但最终未能有效阻止针对该软件的攻击。两周后，该公司发布了后续补丁及详细指南，说明如何查找感染迹象。

补丁仅能保护尚未被黑客入侵的服务器。互联网安全中心执行副总裁兼安全最佳实践总经理柯特·杜克斯表示，虽然SharePoint漏洞已导致数百家机构遭入侵，但大规模攻击的时间窗口正在迅速关闭。

“既然所有人都在疯狂下载补丁，这个循环终将在某个时刻结束，”他说道。

微软过去是否存在安全漏洞？

部分由于微软产品在全球范围内的广泛使用，它们经常成为网络攻击的目标，而入侵受保护网络可能获取大量数据。

一个与中国政府有关联的黑客组织在2023年被指控入侵了美国前商务部长吉娜·雷蒙多、美国驻华大使尼古拉斯·伯恩斯等数百人的电子邮件账户。随后一份美国政府审查报告指责微软在该事件中存在“一系列安全漏洞”。2024年，俄罗斯政府支持的黑客又入侵了部分微软客户的电子邮件收件箱。

在防止此类网络安全事件的压力下，微软近年来已宣布加强安全防护的承诺。