Хакеры, стоящие за первой волной атак с использованием уязвимости нулевого дня в серверах Microsoft SharePoint, изначально нацеливались преимущественно на государственные организации. Об этом сообщают исследователи и новостные источники.
В минувшие выходные Агентство по кибербезопасности и инфраструктуре США (CISA) выпустило предупреждение, указав, что злоумышленники эксплуатируют ранее неизвестную уязвимость (CVE-2025-53770) в корпоративной платформе управления данными SharePoint. По словам Сайласа Катлера, ведущего исследователя компании Censys, занимающейся мониторингом хакерской активности, хотя окончательные выводы делать рано, первоначальные атаки, вероятно, были направлены на госструктуры.
«Похоже, первоначальное использование уязвимости затронуло узкий круг целей, связанных с правительственными организациями», — заявил Катлер в разговоре с TechCrunch. Он добавил, что ситуация быстро развивается: если сначала атаки были ограниченными, то по мере распространения информации о методе эксплуатации уязвимости количество инцидентов может резко возрасти.
Теперь, когда информация об уязвимости стала публичной, а Microsoft еще не завершила выпуск исправлений, к атакам могут подключиться негосударственные группы хакеров, отметил эксперт. По данным Censys, в интернете доступны от 9 000 до 10 000 уязвимых экземпляров SharePoint. Компания Eye Security, первой сообщившая о проблеме, провела сканирование более 8 000 серверов по всему миру и обнаружила признаки взлома на десятках из них.
Учитывая избирательность целей на начальном этапе, Катлер предположил, что за атаками может стоять группа, связанная с государством (так называемая «продвинутая постоянная угроза», APT). The Washington Post со ссылкой на источники сообщил, что среди жертв — федеральные и региональные органы власти США, университеты, энергетические компании и другие организации.
В официальном заявлении Microsoft указано, что уязвимость затрагивает только локальные версии SharePoint, а не облачные. Компания рекомендует клиентам установить патч или отключить серверы от интернета до исправления.
**Свяжитесь с нами**
Если у вас есть информация об этих атаках, журналист TechCrunch Лоренцо Франчески-Биккьераи ждет ваших сообщений. Связаться можно безопасно с нерабочего устройства через Signal (+1 917 257 1382), Telegram/Keybase (@lorenzofb) или почту [lorenzo@techcrunch.com].
**Партнерский материал**
Крупнейшие имена технологий и венчурного капитала — Netflix, ElevenLabs, Wayve, Sequoia Capital — выступят на TechCrunch Disrupt 2025. Не пропустите 20-ю годовщину события: присоединяйтесь 27-29 октября в Сан-Франциско, чтобы узнать insights от лидеров индустрии. Билеты со скидкой до $675 доступны по ссылке.