Bloomberg — A Microsoft acusou hackers patrocinados pelo Estado chinês de usar falhas em seu software de gerenciamento de documentos SharePoint em uma campanha de ataques que teve como alvo empresas e agências governamentais em todo o mundo.
Em um post publicado em seu blog nesta terça-feira (22), a gigante da tecnologia diz ter identificado dois grupos apoiados pelo governo chinês, Linen Typhoon e Violet Typhoon, como aproveitadores de falhas no software SharePoint usado por clientes que o gerenciavam em suas próprias redes, em vez de na nuvem.
Outro grupo de hackers baseado na China, que a Microsoft chama de Storm-2603, também explorou as vulnerabilidades do SharePoint, de acordo com a publicação no blog.
“As investigações sobre outros atores que também exploram essas vulnerabilidades ainda estão em andamento”, disse a Microsoft. “Com a rápida adoção desses exploits, a Microsoft avalia com alta confiança que os agentes de ameaças continuarão a integrá-los em seus ataques.”
Em um comunicado, a embaixada da China disse que a China se opõe firmemente a todas as formas de ataques e crimes cibernéticos.
“Ao mesmo tempo, também nos opomos firmemente à difamação de outras pessoas sem evidências sólidas”, disse o comunicado.
“Esperamos que as partes relevantes adotem uma atitude profissional e responsável ao caracterizar incidentes cibernéticos, baseando suas conclusões em evidências suficientes em vez de especulações e acusações infundadas”, disse o comunicado.
Leia também: Microsoft se apressa para corrigir falha de segurança do SharePoint e estancar perdas
Outros pesquisadores de segurança cibernética disseram que vários grupos de hackers têm usado as falhas no popular software da Microsoft, e alguns também indicaram que os grupos chineses provavelmente estão entre eles.
Os hackers já usaram a falha para invadir os sistemas de governos nacionais na Europa e no Oriente Médio, de acordo com uma pessoa familiarizada com o assunto que falou com a Bloomberg News.
Nos Estados Unidos, eles acessaram sistemas governamentais, incluindo os pertencentes ao Departamento de Educação, ao Departamento de Receita da Flórida e à Assembleia Geral de Rhode Island, disse a pessoa, que pediu para não ser identificada por discutir informações confidenciais.
Os tipos de organizações visadas, as técnicas e outras evidências iniciais são consistentes com a espionagem patrocinada pelo Estado chinês, disse Eugenio Benincasa, pesquisador da universidade suíça ETH Zurich, especializado em analisar ataques chineses.
A empresa de segurança Eye Security detectou comprometimentos em mais de 100 servidores representando 60 vítimas, incluindo organizações do setor de energia, empresas de consultoria e universidades.
As vítimas também estavam localizadas na Arábia Saudita, Vietnã, Omã e Emirados Árabes Unidos, de acordo com a empresa.
Vários hackers diferentes lançaram ataques por meio das vulnerabilidades da Microsoft, de acordo com representantes de duas empresas de segurança cibernética, a CrowdStrike e a Mandiant Consulting, do Google.
Os invasores têm explorado as falhas no SharePoint desde pelo menos 7 de julho em tentativas de invasão contra dois “alvos de alto valor”, disse Adam Meyers, vice-presidente sênior da CrowdStrike.
A exploração inicial se assemelhava a atividades patrocinadas pelo governo e depois se espalhou mais amplamente para incluir hackers que “parecem ser da China”, disse Meyers. A investigação da CrowdStrike sobre a campanha está em andamento, disse ele.
A Microsoft lançou correções para as vulnerabilidades nos servidores do software de gerenciamento de documentos SharePoint.
A empresa disse que ainda estava trabalhando para implantar outras correções depois de avisos de que os hackers estavam visando os clientes do SharePoint, usando a falha para entrar nos sistemas de arquivos e executar códigos.
Representantes do Departamento de Educação e da legislatura de Rhode Island não responderam às ligações e e-mails solicitando comentários na segunda-feira.
Uma porta-voz do Departamento de Receita da Flórida, Bethany Wester Cutillo, disse em um e-mail que os pontos fracos do SharePoint são investigados “em vários níveis do governo”, mas que a agência estadual “não comenta publicamente sobre o software que usamos para as operações”.
Os hackers também violaram os sistemas de um provedor de serviços de saúde com sede nos EUA e visaram uma universidade pública no sudeste da Ásia, de acordo com um relatório de uma empresa de segurança cibernética analisado pela Bloomberg News.
O relatório não identifica nenhuma das entidades pelo nome, mas diz que os hackers tentaram violar os servidores do SharePoint em países como Brasil, Canadá, Indonésia, Espanha, África do Sul, Suíça, Reino Unido e Estados Unidos. A empresa pediu para não ser identificada devido à sensibilidade das informações.
Em alguns sistemas invadidos, os hackers roubaram credenciais de login, incluindo nomes de usuário, senhas, códigos hash e tokens, de acordo com uma pessoa familiarizada com o assunto, que também falou sob a condição de não ser identificada ao discutir as informações confidenciais.
“Essa é uma ameaça de alta gravidade e alta urgência”, disse Michael Sikorski, diretor de tecnologia e chefe de inteligência de ameaças da Unidade 42, da Palo Alto Networks.
“O que torna isso especialmente preocupante é a profunda integração do SharePoint com a plataforma da Microsoft, incluindo seus serviços como Office, Teams, OneDrive e Outlook, que contêm todas as informações valiosas para um invasor”, disse ele. “Um comprometimento não fica contido - ele abre a porta para toda a rede.”
Dezenas de milhares - se não centenas de milhares - de empresas e instituições em todo o mundo usam o SharePoint de alguma forma para armazenar e colaborar em documentos.
A Microsoft disse que os ciberataques visam especificamente os clientes que executam servidores do SharePoint em suas próprias redes locais, em vez de serem hospedados e gerenciados pela empresa de tecnologia. Isso poderia limitar o impacto a uma subseção de clientes.
“É um sonho para os operadores de ransomware”, disse Silas Cutler, pesquisador da empresa de segurança cibernética Censys, sediada em Michigan. Ele estimou que mais de 10.000 empresas com servidores SharePoint estavam em risco. Os EUA tinham o maior número dessas empresas, seguidos pela Holanda, Reino Unido e Canadá, disse ele.
As violações atraíram um novo exame minucioso dos esforços da Microsoft para reforçar sua segurança cibernética após uma série de falhas de alto nível.
A empresa contratou executivos de lugares como o governo dos EUA e realiza reuniões semanais com executivos seniores para tornar seu software mais resistente.
A tecnologia da empresa foi alvo de vários ataques generalizados e prejudiciais nos últimos anos, e um relatório do governo dos EUA de 2024 descreveu a cultura de segurança da empresa como necessitando de reformas urgentes.
O Center for Internet Security, que opera um sistema de compartilhamento de informações de segurança cibernética para governos estaduais e locais nos EUA, encontrou mais de 1.100 servidores em risco devido às vulnerabilidades do SharePoint, disse Randy Rose, vice-presidente de operações de segurança e inteligência da organização. Rose disse que mais de 100 provavelmente foram hackeados.
A Eye Security disse que as falhas permitem que os hackers acessem os servidores do SharePoint e roubem chaves que podem permitir que eles se façam passar por usuários ou serviços, mesmo depois que o servidor for corrigido.
Segundo a empresa, os hackers podem manter o acesso por meio de backdoors ou componentes modificados que podem sobreviver a atualizações e reinicializações de sistemas.
As vulnerabilidades do SharePoint, conhecidas como “ToolShell”, foram identificadas pela primeira vez em maio por pesquisadores em uma conferência de segurança cibernética em Berlim. No início de julho, a Microsoft lançou patches para corrigir as falhas de segurança, mas os hackers encontraram outra maneira de entrar.
“Havia maneiras de contornar as correções”, o que permitia que os hackers invadissem os servidores do SharePoint explorando vulnerabilidades semelhantes, disse Vaisha Bernard, hacker-chefe e coproprietária da Eye Security. “Isso permitiu que esses ataques acontecessem”.
As invasões, segundo ele, não foram direcionadas e, em vez disso, tinham como objetivo comprometer o maior número possível de vítimas.
Ele se recusou a identificar a identidade das organizações que foram alvo, mas disse que elas incluíam agências governamentais e empresas privadas, inclusive “multinacionais maiores”.
As vítimas estavam localizadas em países das Américas do Norte e do Sul, na União Europeia, na África do Sul e na Austrália, acrescentou.
-- Com a colaboração de Daniel Cancel, Aashna Shah, Mark Anderson, Edwin Chan, Jane Lanhee Lee, Lynn Doan, Cameron Fozi e Brody Ford.
Veja mais em Bloomberg.com
Leia também
Ataque cibernético se tornou risco mais temido por empresas, diz Allianz Commercial
Ataques somam US$ 2,2 bilhões em perdas e expõem riscos no mercado cripto
Microsoft elimina 9.000 empregos em nova rodada de cortes para reduzir custos
©2025 Bloomberg L.P.
