A agência de segurança nuclear dos EUA foi invadida recentemente por um ataque hacker da Microsoft

A Administração Nacional de Segurança Nuclear, que supervisiona o projeto e a manutenção do arsenal de armas nucleares dos Estados Unidos, esteve entre as entidades cujos sistemas foram invadidos no recente ataque cibernético ao SharePoint da Microsoft.

Uma fonte anônima da NNSA afirmou que nenhum dado classificado ou sensível parece ter sido roubado na violação de segurança da NNSA. Questionada sobre a violação, a NNSA direcionou todas as perguntas ao Departamento de Energia, que supervisiona a administração como parte de suas responsabilidades mais amplas.

“Na sexta-feira, 18 de julho, a exploração de uma vulnerabilidade zero-day no Microsoft SharePoint começou a afetar o Departamento de Energia”, disse um porta-voz da agência. 

“O departamento foi minimamente afetado devido ao uso generalizado da nuvem Microsoft M365 e a sistemas de cibersegurança robustos. Um pequeno número de sistemas foi afetado. Todos os sistemas afetados estão sendo restaurados.”

A NNSA desempenha uma ampla gama de funções além da gestão de armas nucleares. Ela constrói reatores navais para a frota de submarinos da Marinha, responde a emergências no país e no exterior, auxilia no transporte seguro de armas nucleares pelos Estados Unidos e apoia os esforços de combate ao terrorismo.

Esta não foi a primeira vez que hackers penetraram em redes ligadas à NNSA por meio de uma ferramenta de terceiros. Em 2020, a agência foi alvo de um ataque à SolarWinds Corp., cujo software é usado para gerenciamento de redes. Na época, o Departamento de Energia afirmou que o malware havia sido “isolado apenas a redes corporativas”

A Microsoft culpou hackers patrocinados pelo Estado chinês

A violação explorou vulnerabilidades na plataforma SharePoint e afetou governos e empresas em todo o mundo. Em alguns casos, os invasores roubaram informações de login, como nomes de usuário e senhas, além de tokens e códigos hash, de acordo com uma reportagem anterior da Bloomberg. 

Além do Departamento de Energia, essa violação se estendeu a sistemas em governos nacionais no Oriente Médio e na União Europeia, bem como a diversas agências dos EUA, incluindo o Departamento de Educação, a Assembleia Geral de Rhode Island e o Departamento de Receita da Flórida.

Os investigadores afirmam que o alcance total da intrusão ainda está sendo determinado. As falhas de software afetam organizações que executam o SharePoint localmente, em vez de por meio do serviço em nuvem da Microsoft, deixando as instalações locais particularmente vulneráveis.

Em uma postagem de blog, a Microsoft nomeou duas equipes de hackers ligadas à China: Violet Typhoon e Linen Typhoon. A postagem também mencionou um terceiro grupo, chamado Storm-2603, que usa táticas semelhantes para invadir sistemas.

Na segunda-feira, Charles Carmakal, diretor de tecnologia da Mandiant, uma empresa de cibersegurança pertencente ao Google, afirmou em uma publicação no LinkedIn: "Avaliamos que pelo menos um dos agentes responsáveis ​​pela exploração inicial seja um agente de ameaças com ligações à China."

A Agência de Segurança Cibernética e de Infraestrutura dos EUA (CISA) confirmou no domingo que estava "ciente da exploração ativa" da vulnerabilidade do SharePoint. A Microsoft respondeu lançando correções para as versões locais do SharePoint e, em seguida, disponibilizou uma terceira correção na segunda-feira.

O SharePoint é uma parte essencial do pacote Office da Microsoft. Ele funciona como um centro de colaboração, permitindo que os funcionários de diferentes organizações acessem arquivos e documentos compartilhados por meio de um portal central.

A Microsoft já foi alvo de ataques de equipes de hackers chineses no passado

No ano passado, o CEO da Microsoft, Satya Nadella, declarou a segurança cibernética como a principal prioridade da empresa, após um relatório governamental criticar duramente a resposta da empresa à invasão chinesa de contas de e-mail pertencentes a funcionários públicos. 

No início deste mês, a Microsoft informou aos clientes que não dependeria mais de engenheiros chineses para os serviços de nuvem fornecidos ao Pentágono, após relatos da mídia de que essa configuração poderia ter permitido ataques a sistemas de defesa pertencentes aos EUA.

Em 2021, outro grupo chamado Hafnium, ligado à China, explorou uma falha separada no software Exchange Server da Microsoft para invadir redes de organizações em todo o mundo.

Em um comunicado enviado por e-mail a jornalistas, a embaixada chinesa em Washington afirmou que Pequim se opõe a “todas as formas de ataques cibernéticos” e alertou contra “difamação de terceiros sem provas concretas”

Pesquisadores de segurança detectaram a vulnerabilidade pela primeira vez em maio, durante uma competição de hackers em Berlim organizada pela Trend Micro. O evento oferecia prêmios cash para aqueles que conseguissem encontrar bugs de software não divulgados. A competição incluía um prêmio de US$ 100.000 para exploits de dia zero direcionados ao SharePoint, destacando o quão graves podem ser as consequências dessas falhas ocultas.