Trwa globalny cyberatak z wykorzystaniem krytycznej luki w Microsoft SharePoint. Atak objął już kilkadziesiąt krajów – w tym Polskę – i uderza w administrację publiczną, sektor energetyczny, uczelnie oraz firmy prywatne. W sytuacji rosnących napięć geopolitycznych analitycy ESET podkreślają, że to nie tylko incydent techniczny, ale element szerszego trendu zagrożeń wymierzonych w kluczowe sektory gospodarki.
Cyberprzestępcy wykorzystują groźną lukę w serwerowej wersji oprogramowania Microsoft SharePoint (on-premises), która nie dotyczy chmurowego Microsoft 365. Luka pozwala cyberprzestępcom na przejęcie kontroli nad serwerami, kradzież wrażliwych danych oraz kluczy kryptograficznych. Microsoft potwierdził, że luka jest aktywnie wykorzystywana. Pierwsze oznaki ataku zidentyfikowały systemy bezpieczeństwa ESET 17 lipca w Niemczech, a dzień później zarejestrowano złośliwe oprogramowanie na serwerze we Włoszech. Od tego momentu fala ataków rozlała się na cały świat – celem padły m.in. agencje rządowe w USA, uczelnie, firmy energetyczne i organizacje międzynarodowe. Według Microsoftu za dużą część tej kampanii odpowiadają grupy cyberprzestępcze powiązane z Chinami, takie jak Violet Typhoon, Linen Typhoon i Storm-2603. ESET odnotował obecność złośliwego oprogramowania powiązanego z chińską grupą cyberszpiegowską LuckyMouse na serwerze w Wietnamie. Zdaniem ekspertów, przestępcy z Chin wykorzystali tę lukę, by rozbudować swoje narzędzia ataku i celować w strategiczne instytucje rządowe.
Polska również znalazła się na liście krajów dotkniętych tym globalnym cyberatakiem. Dane z systemów ESET wskazują, że w naszym kraju wykryto aktywne przypadki użycia narzędzia ToolShell. To wyraźnie pokazuje, że mamy do czynienia z zagrożeniem o charakterze globalnym, które nie ogranicza się do wybranych regionów świata.
Skala i zaawansowanie tego ataku budzą poważne obawy wśród organizacji na całym świecie. Cyberprzestępcy zyskali możliwość zdalnego dostępu do systemów i głębokiej infiltracji sieci, co może mieć bezpośredni wpływ na integralność danych i ciągłość operacyjną. Potwierdzono już ponad 50 przypadków naruszeń w różnych sektorach i krajach – w tym w Hiszpanii, Brazylii i USA. W niektórych sytuacjach doszło do utraty dostępu do publicznych repozytoriów dokumentów, co rodzi pytania o możliwe trwałe usunięcie danych. Dochodzenia prowadzą czołowe agencje cyberbezpieczeństwa, w tym FBI i CISA, a działania kryzysowe są koordynowane lokalnie, by szybko ocenić skalę zagrożenia i ograniczyć jego skutki. Incydent ponownie zwraca uwagę na standardy bezpieczeństwa stosowane przez Microsoft – zwłaszcza w kontekście wcześniejszych zarzutów dotyczących zbyt wąskich poprawek oraz polegania na zewnętrznych zespołach inżynierskich przy realizacji wrażliwych projektów.
Komentuje Kamil Sadkowski, analityk laboratorium antywirusowego ESET:
Ten incydent jasno pokazuje, że cyberzagrożenia to realne ryzyko operacyjne i strategiczne, które dotyczy zarówno biznesu, jak i administracji publicznej. W obliczu coraz śmielszych działań grup powiązanych z państwami, takimi jak Chiny, konieczne jest systemowe podejście do cyberbezpieczeństwa: od inwestycji w zaawansowane systemy wykrywania zagrożeń, przez procedury reagowania, po kulturę bezpieczeństwa w organizacji.
Dla podmiotów korzystających z Microsoft SharePoint – niezależnie od sektora – kluczowe jest szybkie wdrożenie dostępnych poprawek i aktywne monitorowanie środowiska IT. Współczesne ataki są coraz bardziej wyrafinowane, a wykorzystywane luki mogą pozostawać niezauważone przez długi czas – jak miało to miejsce w przypadku tej podatności. Dlatego proaktywne podejście, obejmujące nie tylko reakcję, ale i przygotowanie na przyszłe zagrożenia, powinno stać się standardem w każdej odpowiedzialnej organizacji.
Tymczasem dane pokazują poważne braki w zabezpieczeniach wielu polskich firm. Z danych ESET wynika, że ponad 80% polskich firm doświadczyło cyberataku lub wycieku danych w ostatnich latach. Tylko 59% korzysta z oprogramowania antywirusowego, a zaledwie co trzecia przeprowadza regularne testy bezpieczeństwa teleinformatycznego. Jeszcze mniej, bo tylko 34%, wdrożyło systemy monitorowania pozwalające wykryć podejrzane działania w sieci. Równie niepokojący jest poziom przygotowania pracowników – 52% z nich nie uczestniczyło w żadnym szkoleniu z zakresu cyberbezpieczeństwa w ciągu ostatnich pięciu lat, a mniej niż połowa deklaruje, że wie, jak zareagować na zagrożenie.
W sytuacji, w której cyberbezpieczeństwo staje się elementem odporności państwa i gospodarki, dalsze odkładanie inwestycji w tę sferę nie powinno wchodzić w grę – to kwestia ciągłości działania, zaufania klientów i odpowiedzialności instytucjonalnej.