Microsoft
U srpnju 2025. otkrivena je sveobuhvatna i sofisticirana cyber špijunska operacija koja je kompromitirala najmanje 100, a prema novijim procjenama i preko 400 organizacija širom svijeta. Meta napada bili su Microsoft SharePoint poslužitelji koji se nalaze unutar mreža organizacija — dok SharePoint Online u oblačnim rješenjima nije bio pogođen.
Ključni elementi operacije
Zero-day ranjivost u SharePoint server softveru otkrivena je u svibnju na sigurnosnom natjecanju u Berlinu pod nazivom “ToolShell”. Unatoč zakrpi objavljenoj početkom srpnja, Microsoftov prvi fix nije u potpunosti uklonio propust, što je otvorilo vrata hakerima da nastave s eksploatacijom ranjivosti.
Prijevara je otkrivena zahvaljujući skeniranju Eye Security i Shadowserver Foundation, koji su identificirali gotovo 100 žrtava u SAD-u i Njemačkoj, uključujući državne institucije. Brojka se ubrzo povećala na oko 400 pogođenih organizacija, ali stručnjaci upozoravaju da stvarni broj kompromitiranih servera može biti višestruko veći.
Napredne grupe i eskalacija napada
Microsoft je identificirao tri hakerske grupe povezanih s Kinom — „Linen Typhoon“, „Violet Typhoon“ i „Storm‑2603“ — koje su iskoristile ranjivost za neovlašteni pristup serverima i često dodavanje ransomware zlonamjernog koda. Upravo posljednja grupa povezivana je s eskalacijom operacije u ransomware kampanju.
Posljedice i globalni kontekst
Potencijalni učinak: hakeri su preuzeli kriptografske ključeve, što omogućuje trajni pristup ciljanom sustavu čak i nakon instalacije zakrpi, a neke organizacije prijavile su gubitke podataka ili neovlaštene promjene sadržaja.
Kibernetičke agencije, uključujući američku CISA, FBI i nacionalne tijela u UK, Kanadi i Australiji, pokrenule su hitne istrage i preporučile organizacijama da odmah izvrše sigurnosne nadogradnje, resetiraju osjetljive ključeve, izoliraju kompromitirane servere i angažiraju profesionalne sigurnosne stručnjake.
Za Hrvatsku i Europu: lokalne implikacije
- Iako ransomware dosad nije zabilježen na europskim organizacijama, procjenjuje se da je oko 9 000 SharePoint servera u Europi i potencijalno u regiji ranjivo. U kontekstu javnih institucija, zdravstva i energetskih firmi, rizik je visok.
- Hrvatska i susjedne zemlje trebaju hitno provjeriti sigurnost svojih on-premise instalacija, osobito u državnim agencijama koje koriste SharePoint za internu suradnju.
- Ovaj incident otvara širi pitanje pouzdanosti globalnih IT platformi, transparentnosti Microsoftove sigurnosne politike i važnosti neovisnog nadzora softverskih sustava.
Ovaj hakerski napad predstavlja ozbiljan signal za globalni IT sektor: čak i renomirane softverske platforme nisu imune od ranjivosti, a nedovoljna brza reakcija proizvođača može omogućiti špijunima i kriminalcima dugotrajniji pristup osjetljivim infrastrukturalnim sustavima. Posebno je zabrinjavajuće da ranjivosti potječu iz sustavnog propusta u ranom update procesu, što količi u pitanja profesionalizma i odgovornosti velikih tehnologijskih kompanija.
