Die National Nuclear Security Administration, die für die Entwicklung und Instandhaltung des amerikanischen Atomwaffenarsenals zuständig ist, gehörte zu denjenigen, deren Systeme im Zuge des jüngsten Microsoft SharePoint-Hacks kompromittiert wurden.
Eine anonyme Quelle innerhalb der NNSA gab an, dass bei dem Datenleck offenbar keine vertraulichen oder sensiblen Daten gestohlen wurden. Auf Nachfrage verwies die NNSA alle Anfragen an das Energieministerium, das die Behörde im Rahmen seiner umfassenderen Zuständigkeiten beaufsichtigt.
„Am Freitag, dem 18. Juli, begann die Ausnutzung einer Zero-Day-Schwachstelle in Microsoft SharePoint das Energieministerium zu beeinträchtigen“, sagte ein Sprecher der Behörde.
„Die Abteilung war aufgrund der weitverbreiteten Nutzung der Microsoft M365-Cloud und leistungsfähiger Cybersicherheitssysteme nur minimal betroffen. Eine geringe Anzahl von Systemen war betroffen. Alle betroffenen Systeme werden derzeit wiederhergestellt.“
Die NNSA übernimmt ein breites Aufgabenspektrum, das weit über die Verwaltung von Atomwaffen hinausgeht. Sie baut Marinereaktoren für die U-Boot-Flotte der Marine, reagiert auf Notfälle im In- und Ausland, hilft beim sicheren Transport von Atomwaffen innerhalb der Vereinigten Staaten und unterstützt Maßnahmen zur Terrorismusbekämpfung.
Dies war nicht das erste Mal, dass Hacker mithilfe eines Drittanbieter-Tools in mit der NNSA verbundene Netzwerke eingedrungen waren. Bereits 2020 war die Behörde Ziel eines Angriffs auf SolarWinds Corp., deren Software für das Netzwerkmanagement eingesetzt wird. Damals erklärte das Energieministerium, die Schadsoftware sei „bislang auf Unternehmensnetzwerke beschränkt“ gewesen
Microsoft beschuldigte staatlich geförderte Hacker aus China
Der Sicherheitsvorfall nutzte Schwachstellen der SharePoint-Plattform aus und betraf Regierungen und Unternehmen weltweit. Laut einem früheren Bericht von Bloomberg erbeuteten Angreifer in einigen Fällen Anmeldeinformationen wie Benutzernamen und Passwörter sowie Token und Hash-Codes.
Über das Energieministerium hinaus erstreckte sich diese Sicherheitslücke auf Systeme nationaler Regierungen im Nahen Osten und in der EU sowie auf mehrere US-Behörden, darunter das Bildungsministerium, die Generalversammlung von Rhode Island und das Finanzministerium von Florida.
Die Ermittler geben an, dass das volle Ausmaß des Angriffs noch ermittelt wird. Die Softwarefehler betreffen Organisationen, die SharePoint lokal und nicht über den Cloud-Dienst von Microsoft betreiben, wodurch insbesondere Installationen vor Ort gefährdet sind.
In einem Blogbeitrag nannte Microsoft zwei Hackergruppen mit Verbindungen nach China: Violet Typhoon und Linen Typhoon. Der Beitrag erwähnte außerdem eine dritte Gruppe namens Storm-2603, die ähnliche Taktiken anwendet, um in Systeme einzudringen.
Am Montag erklärte Charles Carmakal, Chief Technology Officer von Mandiant, einem zu Google gehörenden Cybersicherheitsunternehmen, in einem LinkedIn-Beitrag: „Wir gehen davon aus, dass mindestens einer der Akteure, die für die frühe Ausnutzung verantwortlich sind, ein mit China verbundener Bedrohungsakteur ist.“
Die US-amerikanische Cybersicherheitsbehörde CISA bestätigte am Sonntag, dass ihr die aktive Ausnutzung der SharePoint-Schwachstelle bekannt sei. Microsoft reagierte darauf mit der Veröffentlichung von Patches für lokale SharePoint-Versionen und stellte am Montag einen dritten Fix bereit.
SharePoint ist ein zentraler Bestandteil der Microsoft Office-Suite. Es dient als Kollaborationsplattform und ermöglicht Mitarbeitern innerhalb von Organisationen den Zugriff auf gemeinsam genutzte Dateien und Dokumente über ein zentrales Portal.
Microsoft wurde in der Vergangenheit bereits von chinesischen Hackergruppen angegriffen
Im vergangenen Jahr erklärte Microsoft-Chef Satya Nadella die Cybersicherheit zur obersten Priorität des Unternehmens, nachdem ein Regierungsbericht die Reaktion des Unternehmens auf einen chinesischen Angriff auf E-Mail-Konten von Beamten scharf kritisiert hatte.
Anfang dieses Monats teilte Microsoft seinen Kunden mit, dass es bei den für das Pentagon bereitgestellten Cloud-Diensten nicht mehr auf chinesische Ingenieure angewiesen sein werde, nachdem Medienberichte aufgetaucht waren, wonach die bestehende Infrastruktur Angriffe auf Verteidigungssysteme der USA ermöglicht haben könnte.
Im Jahr 2021 nutzte eine andere Gruppe namens Hafnium, die Verbindungen nach China unterhielt, eine separate Schwachstelle in der Exchange Server-Software von Microsoft aus, um in Netzwerke von Organisationen weltweit einzudringen.
In einer per E-Mail an Journalisten versandten Erklärung teilte die chinesische Botschaft in Washington mit, Peking lehne „alle Formen von Cyberangriffen“ ab und warnte davor, „andere ohne stichhaltige Beweise zu verleumden“
Sicherheitsforscher entdeckten die Schwachstelle erstmals im Mai bei einem von Trend Micro in Berlin organisierten Hacking-Wettbewerb. Bei der Veranstaltung wurden cash für das Aufspüren unbekannter Softwarefehler ausgelobt. Der Wettbewerb beinhaltete einen Preis von 100.000 US-Dollar für Zero-Day-Exploits, die SharePoint angreifen, was verdeutlicht, wie gravierend die Folgen solcher versteckter Sicherheitslücken sein können.
