25.07.2025. - Хакеры нанесли удар по ядерному комплексу США

Хакеры нанесли удар по ядерному комплексу США

Корпорация Microsoft предупредила, что китайские хакеры, спонсируемые государством, являются одними из тех, кто использует уязвимости в программном обеспечении SharePoint для проникновения в учреждения по всему миру, в том числе в американское агентство, ответственное за разработку ядерного оружия.

В своем блоге технический гигант указал на две группы, поддерживаемые правительством Китая, Linen Typhoon и Violet Typhoon, которые используют недостатки в программном обеспечении для обмена документами, что делает уязвимыми клиентов, использующих его в своих собственных сетях, а не в облаке. Другая хакерская группа, базирующаяся в Китае, которую Microsoft называет Storm-2603, также использовала их, сообщается в блоге.

Число компаний и агентств, подвергшихся хакерским атакам в результате этих эксплойтов, тем временем растет: хакеры использовали уязвимости SharePoint для взлома Национальной администрации по ядерной безопасности США, по словам человека, осведомленного в этом вопросе, который не был уполномочен выступать публично. Агентство Bloomberg также сообщило в понедельник, что системы, принадлежащие Департаменту образования США, Департаменту доходов Флориды и Генеральной ассамблее Род-Айленда, были скомпрометированы.

В то время как Microsoft в последние дни исправляла свое программное обеспечение, исследователи кибербезопасности уже обнаружили нарушения на более чем 100 серверах, представляющих интересы 60 пострадавших, включая организации энергетического сектора, консалтинговые фирмы и университеты. По словам человека, знакомого с этим вопросом, хакеры также использовали это программное обеспечение для взлома систем национальных правительств от Европы до Ближнего Востока.

По словам Адама Мейерса, старшего вице-президента CrowdStrike Holdings Inc., уязвимости SharePoint использовались для взломов как минимум с 7 июля. Раннее использование напоминало деятельность, спонсируемую правительством, а затем распространилось более широко, включая хакерские атаки, которые “похожи на Китай”, - сказал Мейерс. По его словам, расследование кампании CrowdStrike продолжается.

Microsoft сообщила в своем блоге, что ее расследования в отношении других участников угроз, использующих эти эксплойты, “все еще продолжаются”. Компания заявила, что у нее “высокая уверенность” в том, что хакеры “продолжат интегрировать их в свои атаки”.

В заявлении посольства Китая в Вашингтоне говорится, что Китай решительно выступает против всех форм кибератак и киберпреступности.

“В то же время мы также решительно выступаем против клеветы на других без веских доказательств”, - говорится в заявлении. “Мы надеемся, что соответствующие стороны займут профессиональную и ответственную позицию при оценке киберинцидентов, основывая свои выводы на достаточных доказательствах, а не на необоснованных спекуляциях и обвинениях”.

"Известно, что в результате атаки на Национальное управление ядерной безопасности не была скомпрометирована никакая важная или секретная информация", - сказал источник, осведомленный о взломе. Полуавтономное подразделение Министерства энергетики отвечает за производство и демонтаж ядерного оружия. Оно также обеспечивает военно-морской флот ядерными реакторами для подводных лодок и реагирует на радиационные чрезвычайные ситуации. Другие подразделения департамента также были скомпрометированы.

Представитель Министерства энергетики сообщил по электронной почте, что использование SharePoint начало сказываться на работе ведомства 18 июля, но это было ограничено тем фактом, что ведомство использует облако Microsoft.

Представители Министерства образования США и законодательного собрания Род-Айленда тем временем не ответили на звонки и электронные письма с просьбой прокомментировать ситуацию. Департамент доходов Флориды заявил, что недостатки SharePoint расследуются “на нескольких уровнях управления”, но отказался от дальнейших комментариев.

Хакеры также взломали системы медицинского учреждения в США и атаковали государственный университет в Юго-Восточной Азии, говорится в отчете компании по кибербезопасности, с которым ознакомилось агентство Bloomberg News. В отчете не названы ни одна из организаций, но говорится, что хакеры пытались взломать серверы SharePoint в таких странах, как Бразилия, Канада, Индонезия, Испания, Южная Африка, Швейцария, Великобритания и США. Компания попросила не называть ее имени из-за секретности информации.

Хакеры украли учетные данные для входа, включая имена пользователей, пароли, хэш-коды и токены, из некоторых систем, по словам человека, знакомого с этим вопросом, который попросил не называть его имени, обсуждая конфиденциальную информацию.

“Это угроза высокой степени серьезности и срочности”, - сказал Майкл Сикорски, технический директор и руководитель отдела анализа угроз подразделения 42 в Palo Alto Networks Inc.

“Особое беспокойство вызывает глубокая интеграция SharePoint с платформой Microsoft, включая такие сервисы, как Office, Teams, OneDrive и Outlook, которые содержат всю ценную для злоумышленника информацию”, - сказал он.

Кибер-компания Eye Security заявила, что уязвимости позволяют хакерам получать доступ к серверам SharePoint и красть ключи, которые позволяют им выдавать себя за пользователей или службы даже после исправления сервера. Хакеры могут сохранять доступ с помощью бэкдоров или модифицированных компонентов, которые могут пережить обновления и перезагрузки систем.

Эти нарушения привлекли внимание к усилиям Microsoft по укреплению своей безопасности после серии громких сбоев. Компания наняла руководителей из таких мест, как правительство США, и проводит еженедельные совещания с руководителями высшего звена, чтобы повысить устойчивость своего программного обеспечения. За последние годы технологии компании подверглись нескольким широкомасштабным и разрушительным взломам, и в отчете правительства США за 2024 год говорилось, что культура безопасности компании нуждается в срочных реформах.

Eye Security обнаружила взломы более чем на 100 серверах, представляющих интересы 60 пострадавших, включая организации энергетического сектора, консалтинговые фирмы и университеты. По данным компании, жертвы также находились в Саудовской Аравии, Вьетнаме, Омане и Объединенных Арабских Эмиратах.

В начале июля Microsoft выпустила исправления для устранения дыр в системе безопасности, но хакеры нашли другой способ проникнуть внутрь.

“Были способы обойти исправления”, которые позволяли хакерам взламывать серверы SharePoint, используя аналогичные уязвимости, - говорит Вайша Бернард, главный хакер и совладелец Eye Security. “Это позволило провести эти атаки”. По его словам, эти вторжения не были целенаправленными, а вместо этого были направлены на то, чтобы скомпрометировать как можно больше жертв.

Он отказался назвать организации, которые стали мишенью, но сказал, что среди них были правительственные учреждения и частные компании, в том числе “крупные транснациональные корпорации”. По его словам, жертвы находились в странах Северной и Южной Америки, Европейского союза, Южной Африки и Австралии.

Источник