Сервисы Microsoft названы «крупнейшим в мире хостингом для вредоносного ПО» — во многом благодаря злоупотреблению киберпреступниками площадками вроде Office 365 и OneDrive, а также другими проектами компании.
OneDrive в свое время был хостингом, в частности, для вредоносного проекта BazarLoader, отмечает эксперт по кибербезопасности TheAnalyst. Он обвинил компанию в том, что Microsoft известно о том, что она хранит в своих облачных сервисах сотни вредоносных файлов.
В рамках «проекта» BazarLoader рассылался спам, призванный обмануть получателей, заставив их запустить троян, перейдя по ссылке. Речь идет об ISO-образе, содержавшем вредоносный DLL-файл с вводящим заблуждение ярлыком Documents. После запуска не исключена атака программы-вымогателя семейства Conti. По словам Кевина Бомонта (Kevin Beaumont), работавшего в Microsoft одним из руководящих специалистов по кибербезопасности с июня 2020 года по апрель 2021 года, ничего удивительного в подобной ситуации нет. Эксперт утверждает, что в свое время в компании создали канал связи с командой Google Drive, позволяющий оповещать о BazarLoader. Реакция на запросы об удалении вредоносных ссылок происходила буквально в течение минут. Теперь злоумышленники переместились в инфраструктуру Microsoft, и почти невозможно заставить компанию удалить файлы.
«Microsoft не имеет права рекламировать себя в качестве лидера в области безопасности с 8000 сотрудников с соответствующей специализацией, обрабатывающих триллионы сигналов, если они не могут предотвратить использование собственной платформы Office 365 для прямого распространения вымогательского ПО Conti. Злоупотребление OneDrive продолжается годами», — заявил Бомонт.
Сайт URLhaus, поддерживаемый швейцарским проектом abuse.ch и Институтом кибербезопасности и инженерии Бернского университета, содержит статистику того, как много времени уходит на удаление вредоносного ПО с момента сообщения хостингу об инциденте. Microsoft имеет наихудшую скорость реакции среди десятка площадок, хранящих большинство вредоносных URL, — она составляет более 29 дней. Платформы Google содержат еще больше вредоносных адресов и тоже медленно реагируют на сообщения, но скорость реакции заметно выше, чем у Microsoft, — 14 дней. Специалисты проекта предполагают, что в центре Microsoft Security Response Center процессы наверняка не автоматизированы.
Известно, что сайты на хостинге Microsoft, содержащие вредоносное ПО, используют специально созданные с этой целью или украденные аккаунты OneDrive. Достаточно часто вредоносный софт хранится в скомпрометированных бизнес-аккаунтах Office 365.
Автоматическая блокировка подозрительных файлов облачными провайдерами проблематична не только потому, что новые варианты трудно выявить, но и потому, что даже ПО, выявленное Microsoft Defender, не удаляется из OneDrive автоматически, отмечает Бомонт. По некоторым данным, в среднем на удаление вредоносного контента уходит от 2 дней до 4 месяцев. Поэтому пользователям не стоит слепо доверять ссылкам, связанным с доменами OneDrive или Google Drive.
Microsoft заявляет, что злоупотребление облачными хранилищами — это проблема, характерная для всей индустрии, и компания постоянно работает над тем, чтобы ее сервисы причиняли как можно меньше вреда. Об инцидентах рекомендуется сообщать, используя форму по ссылке msrc.microsoft.com/report/abuse.