Весь мир говорит о хакерской атаке через SharePoint: кто за этим стоит и кто пострадал

Александр Гайдамашко

Основные тезисы

Критическая уязвимость в Microsoft SharePoint привела к хакерским атакам, которые повлияли на более 400 организаций, включая Национальное управление ядерной безопасности США.
Атака началась 7 июля 2025 года, когда хакеры использовали уязвимость "ToolShell".
Microsoft выпустила экстренные обновления безопасности.
К атакам причастны по меньшей мере три китайские хакерские группы.

SharePoint имеет серьезную уязвимость – китайские хакеры атакуют через Microsoft

Массовая хакерская атака из-за уязвимости нулевого дня в SharePoint / Коллаж 24 Канала/Freepik

Критическая уязвимость в программном обеспечении Microsoft SharePoint привела к масштабной хакерской атаке, которая затронула более 400 организаций по всему миру и угрожала тысячам других. По данным исследователей, среди пострадавших оказалось Национальное управление ядерной безопасности США, отвечающее за поддержку американского ядерного арсенала.

Что известно об атаках через SharePoint и кто за ними стоит?

Хакерская кампания началась 7 июля 2025 года, когда злоумышленники начали активно эксплуатировать критическую уязвимость в локальных серверах Microsoft SharePoint. Исследователи безопасности из нидерландской компании Eye Security, которые первыми обнаружили массовое использование уязвимости вечером 18 июля, сначала зафиксировали десятки скомпрометированных организаций, но потом сообщили, что количество жертв возросло до 400, пишет 24 Канал.

Все началось с того, что Eye Security увидела подозрительную активность на SharePoint-сервере одного из клиентов. Сканирование более 8000 серверов SharePoint по всему миру показало десятки активно скомпрометированных систем.

Что такое SharePoint?

Microsoft SharePoint – это многофункциональная веб-платформа, предназначенная для совместной работы, управления документами и контентом в организациях. Она позволяет централизовать доступ к корпоративной информации и приложений, создавая внутренние корпоративные сайты, которые служат безопасным местом для хранения, организации, совместного использования и доступа к данным с любого устройства с помощью браузера. Сколько пользователей имеет этот сервис сегодня, неизвестного, но по состоянию на декабрь 2020 года, платформой пользовалось более 200 миллионов человек.

Основные сценарии использования:

Управление корпоративным контентом и документами.
Создание интранет-порталов и социальных сетей.
Совместная работа в группах.
Персональное облачное хранилище.
Разработка пользовательских веб-приложений.
Автоматизация рабочих процессов.
Поиск и аналитика.
Безопасность и администрирование.

Технические детали атаки

Уязвимость получила название "ToolShell" от исследователя Динь Хо Ань Хоа из Viettel Cyber Security, который первым обнаружил ее на хакерском соревновании Pwn2Own в Берлине в мае 2025 года. За свою находку он получил вознаграждение в размере 100 тысяч долларов. Атака использует цепочку из двух критических уязвимостей: CVE-2025-53770 (оценка CVSS 9.8) и CVE-2025-53771 (оценка CVSS 6.3). Первая позволяет удаленное выполнение кода, а вторая – обход аутентификации через подделку заголовков HTTP.

Злоумышленники отправляют специально сформированный POST-запрос к конечной точке /_layouts/15/ToolPane.aspx с поддельным заголовком Referer: /_layouts/SignOut.aspx, что позволяет обойти проверку аутентификации. После успешной эксплуатации они загружают веб-оболочку с названием spinstall0.aspx, которая извлекает криптографические ключи SharePoint.

Кто за этим стоит?

Microsoft официально подтверждает, что за эксплуатацией уязвимости, которую она не исправляла два месяца, стоят три китайские хакерские группы. Компания обнаружила участие двух известных государственных акторов: Linen Typhoon и Violet Typhoon, а также третьей группы Storm-2603.

Linen Typhoon (также известная как APT27, Emissary Panda, Bronze Union) действует с 2012 года и специализируется на краже интеллектуальной собственности. Группа преимущественно нацеливается на организации, связанные с правительством, оборонной сферой, стратегическим планированием и правами человека.
Violet Typhoon (APT31, Bronze Vinewood, Judgment Panda) активна с 2015 года и занимается шпионажем. Она в основном атакует бывших правительственных чиновников и военных, неправительственные организации, аналитические центры, высшие учебные заведения, медиа, финансовые и медицинские учреждения в США, Европе и Восточной Азии.
Storm-2603 – менее известная группа, относительно китайского происхождения которой Microsoft имеет "среднюю уверенность". Ранее она использовала программы-вымогатели Warlock и Lockbit. Ее текущие цели пока остаются непонятными.

Кто пострадал?

Среди наиболее резонансных жертв – Национальное управление ядерной безопасности США (NNSA), полуавтономное агентство в составе Министерства энергетики, которое отвечает за проектирование, обслуживание и транспортировку американского ядерного арсенала.

Представитель Министерства энергетики подтвердил, что эксплуатация уязвимости SharePoint началась 18 июля и коснулась всего департамента, включая NNSA.

Департамент подвергся минимальному воздействию благодаря широкому использованию облачной платформы Microsoft M365 и очень эффективных систем кибербезопасности,
– заявил пресс-секретарь Министерства энергетики Бен Дитдерих в интервью BleepingComputer.

Кроме NNSA, пострадали также Министерство образования США, Департамент доходов Флориды, Генеральная ассамблея Род-Айленда, а также правительственные агентства в Европе и на Ближнем Востоке.

Как отреагировала Microsoft?

Microsoft выпустила экстренные обновления безопасности 19 июля для SharePoint Subscription Edition и SharePoint Server 2019, а 21 июля – для SharePoint Server 2016. Компания также рекомендует организациям провести ротацию ключей машины SharePoint Server ASP.NET и включить интерфейс сканирования антивирусных программ (AMSI).

Агентство кибербезопасности США (CISA) добавило CVE-2025-53770 в свой каталог известных эксплуатируемых уязвимостей со срочным дедлайном для устранения.

Эксперты также предупреждают, что организации с локальными серверами SharePoint, подключенными к интернету, должны считать свои системы скомпрометированными.

Что говорит Китай?

Китайское правительство отрицает какую-либо причастность к атакам. Посольство Китая в Вашингтоне заявило, что "Китай решительно выступает против всех форм кибератак и киберпреступлений" и призвало "принимать профессиональное и ответственное отношение при характеристике киберинцидентов".

Что дальше?

По оценкам исследователей из Censys, более 10 тысяч организаций в мире могут быть под угрозой из-за этой уязвимости. Наибольшее количество потенциально уязвимых серверов находится в США, за ними следуют Нидерланды, Великобритания и Канада.

Эксперты из Palo Alto Networks назвали эту уязвимость "мечтой для операторов вымогателей", поскольку она позволяет злоумышленникам получить полный контроль над серверами и перемещаться по корпоративным сетям. Исследователи предупреждают, что кампания, вероятно, будет продолжаться, поскольку другие хакерские группы также будут пытаться использовать эту уязвимость. Именно поэтому каждая организация, использующая SharePoint, должна как можно быстрее провести обновление системы.