Национальное управление ядерной безопасности, которое курирует проектирование и обслуживание американского ядерного арсенала, оказалось в числе тех, чьи системы были взломаны в ходе недавней атаки на Microsoft SharePoint.
Анонимный источник из NNSA сообщил, что, судя по всему, в результате взлома NNSA не было украдено никаких секретных или конфиденциальных данных. На вопрос о причинах взлома NNSA перенаправила все запросы в Министерство энергетики, которое курирует эту администрацию в рамках своих более широких обязанностей.
«В пятницу, 18 июля, в Министерстве энергетики началась эксплуатация уязвимости нулевого дня в Microsoft SharePoint», — заявил представитель ведомства.
«Департамент пострадал минимально благодаря широкому использованию облачной платформы Microsoft M365 и эффективным системам кибербезопасности. Пострадало небольшое количество систем. Все пострадавшие системы восстанавливаются»
NNSA выполняет широкий спектр обязанностей, выходящих за рамки управления ядерным оружием. Она строит военно-морские реакторы для подводного флота ВМС, реагирует на чрезвычайные ситуации внутри страны и за рубежом, помогает безопасно транспортировать ядерное оружие по территории Соединенных Штатов и поддерживает усилия по борьбе с терроризмом.
Это был не первый случай, когда хакеры проникали в сети, связанные с NNSA, с помощью сторонних инструментов. В 2020 году агентство стало мишенью атаки на компанию SolarWinds Corp., чье программное обеспечение используется для управления сетями. Тогда Министерство энергетики заявило, что вредоносное ПО «было обнаружено только в корпоративных сетях»
Microsoft обвинила в произошедшем хакеров из Китая, спонсируемых государством
Взлом использовал уязвимости платформы SharePoint и затронул правительства и предприятия по всему миру. В некоторых случаях, согласно более раннему сообщению Bloomberg, злоумышленники похитили данные для входа в систему, такие как имена пользователей и пароли, а также токены и хэш-коды.
Помимо Министерства энергетики, это нарушение распространилось на системы национальных правительств на Ближнем Востоке и в ЕС, а также на ряд американских ведомств, включая Министерство образования, Генеральную ассамблею Род-Айленда и Налоговое управление Флориды.
Следователи заявляют, что полный масштаб взлома все еще устанавливается. Уязвимости в программном обеспечении затрагивают организации, которые используют SharePoint локально, а не через облачный сервис Microsoft, что делает локальные установки особенно уязвимыми.
В сообщении в блоге Microsoft назвала две хакерские группы, связанные с Китаем. К ним относятся Violet Typhoon и Linen Typhoon. В сообщении также упоминалась третья группа под названием Storm-2603, использующая аналогичную тактику для взлома систем.
В понедельник Чарльз Кармакал, технический директор Mandiant, компании по кибербезопасности, принадлежащей Google, заявил в своем сообщении в LinkedIn: «Мы считаем, что по крайней мере один из субъектов, ответственных за раннюю эксплуатацию уязвимости, является субъектом, связанным с Китаем»
Агентство по кибербезопасности и защите инфраструктуры США (CISA) в воскресенье подтвердило, что ему «известно об активной эксплуатации» уязвимости SharePoint. В ответ Microsoft выпустила патчи для локальных версий SharePoint, а затем в понедельник выпустила третье исправление.
SharePoint — это ключевой компонент пакета Microsoft Office. Он служит центром для совместной работы, позволяя сотрудникам внутри организаций получать доступ к общим файлам и документам через централизованный портал.
В прошлом Microsoft подвергалась атакам китайских хакерских групп
В прошлом году генеральный директор Microsoft Сатья Надела заявил, что кибербезопасность является главным приоритетом компании после того, как правительственный отчет подверг резкой критике действия компании в ответ на взлом китайских почтовых аккаунтов, принадлежащих чиновникам.
Ранее в этом месяце Microsoft сообщила клиентам, что больше не будет полагаться на китайских инженеров для предоставления облачных услуг Пентагону, после сообщений в СМИ о том, что такая схема могла позволить совершать атаки на системы обороны, принадлежащие США.
В 2021 году другая группа, Hafnium, связанная с Китаем, использовала отдельную уязвимость в программном обеспечении Microsoft Exchange Server для взлома сетей организаций по всему миру.
В заявлении, разосланном журналистам по электронной почте, посольство Китая в Вашингтоне заявило, что Пекин выступает против «всех форм кибератак» и предостерегает от «очернения других без веских доказательств»
Исследователи в области безопасности впервые обнаружили эту уязвимость в мае во время хакерского конкурса в Берлине, организованного компанией Trend Micro. На мероприятии предлагались cash призы тем, кто сможет найти скрытые ошибки в программном обеспечении. В рамках конкурса был предусмотрен приз в размере 100 000 долларов за эксплойты нулевого дня, нацеленные на SharePoint, что подчеркивает, насколько высоки ставки при обнаружении таких скрытых уязвимостей.
