Microsoft ograniczył niektórym chińskim firmom z branży cyberbezpieczeństwa dostęp do swojego programu wczesnego ostrzegania o zagrożeniach. Decyzja jest następstwem czerwcowych i lipcowych ataków hakerskich wykorzystujących luki w oprogramowaniu SharePoint, o które firma i amerykańscy eksperci podejrzewali podmioty powiązane z Pekinem.
Reakcja na falę ataków
Zmiany dotyczą Microsoft Active Protections Program (MAPP), kluczowej inicjatywy, w ramach której gigant z Redmond dzieli się ze swoimi partnerami – firmami z sektora cyberbezpieczeństwa – informacjami o nowo odkrytych lukach, zanim zostaną one upublicznione.
Celem programu jest umożliwienie partnerom szybkiego przygotowania i wdrożenia mechanizmów obronnych w celu ochrony swoich klientów.
Jednak zeszłomiesięczna fala ataków na serwery SharePoint wzbudziła podejrzenia. Microsoft powiadomił członków MAPP o lukach w zabezpieczeniach 24 czerwca oraz 3 i 7 lipca. Zmasowane próby ich wykorzystania rozpoczęły się niemal natychmiast po ostatnim z powiadomień.
Taka zbieżność czasowa nasunęła ekspertom wniosek, że informacje z programu mogły zostać niewłaściwie wykorzystane przez jednego z jego uczestników do przygotowania ataków, zamiast do budowy zabezpieczeń.
Rząd w Pekinie konsekwentnie zaprzecza swojemu udziałowi w jakichkolwiek działaniach hakerskich.
Ograniczenie dostępu do kluczowych danych
W odpowiedzi Microsoft podjął decyzję o zaostrzeniu zasad dla kilku chińskich firm uczestniczących w programie. Nie będą one już otrzymywać tzw. kodu proof-of-concept (PoC).
Jest to rodzaj niegroźnego kodu, który symuluje działanie prawdziwego exploita, pomagając analitykom zrozumieć mechanizm ataku i zbudować skuteczną obronę.
Jednak w niepowołanych rękach kod PoC może zostać łatwo zmodyfikowany i użyty do stworzenia pełnoprawnego narzędzia hakerskiego.
Firma podkreśla, że stale monitoruje swoich partnerów w ramach MAPP i podejmuje odpowiednie kroki w przypadku naruszenia umowy, która zakazuje wykorzystywania udostępnianych danych do celów ofensywnych.
Microsoft nie ujawnił jednak, które konkretnie chińskie firmy zostały objęte restrykcjami ani jaki jest status wewnętrznego dochodzenia w sprawie czerwcowego incydentu.
Ten krok sygnalizuje rosnącą ostrożność i napięcie w relacjach zachodnich firm technologicznych z chińskimi partnerami w dziedzinie cyberbezpieczeństwa.
