News Китайские киберагенты атаковали NNSA через SharePoint уязвимость

Беспрецедентная атака на критическую инфраструктуру США​

18 июля 2025 года стало черной датой для американской национальной безопасности. Национальное управление ядерной безопасности (NNSA) — федеральное агентство, ответственное за поддержание и разработку арсенала ядерного оружия США, стало жертвой масштабной кибератаки, проведенной китайскими государственными хакерами через критическую уязвимость в Microsoft SharePoint.

Что такое NNSA: сердце американского ядерного арсенала​

Национальное управление ядерной безопасности — это полуавтономное агентство Министерства энергетики США, которое играет центральную роль в национальной обороне страны:
Ключевые функции NNSA:

• Поддержание 5000 ядерных боеголовок в состоянии готовности
• Предотвращение утечек радиации из ядерных объектов
• Обеспечение безопасности от случайной детонации ядерного оружия
• Реагирование на ядерные и радиологические чрезвычайные ситуации внутри США и за рубежом
• Исследования и разработка ядерного оружия в сотрудничестве с Ливерморской лабораторией, Лос-Аламосом и другими научными центрами

Агентство управляет критически важными объектами, включая национальные лаборатории и производственные комплексы, где разрабатываются и обслуживаются компоненты ядерного оружия.

Анатомия кибератаки: как это произошло​

Эксплуатация уязвимости ToolShell​

Атака стала возможной благодаря эксплуатации критической цепочки уязвимостей в Microsoft SharePoint, получившей кодовое название "ToolShell":

CVE-2025-53770 — уязвимость удаленного выполнения кода (CVSS: 9.8)

• Позволяет десериализацию недоверенных данных на локальных серверах SharePoint
• Дает злоумышленникам возможность выполнять произвольный код на скомпрометированном сервере

CVE-2025-49706 — уязвимость подмены/обхода аутентификации

• Возникает из-за неправильной обработки HTTP Referer заголовка в ToolPane endpoint
• Позволяет обойти механизмы аутентификации

Механизм атаки​

1. Первоначальное проникновение: Злоумышленники отправили специально созданные POST-запросы на сервер SharePoint NNSA
2. Загрузка вредоносного кода: Установили вредоносный скрипт spinstall0.aspx (или его вариации)
3. Кража криптографических ключей: Похитили ключи MachineKey сервера (ValidationKey и DecryptionKey)
4. Создание постоянного доступа: Использовали украденные ключи для создания поддельных полезных нагрузок __VIEWSTATE
5. Латеральное движение: Получили возможность удаленного выполнения кода и доступа к связанным системам

Хронология атаки​

• 7 июля 2025 — первые попытки эксплуатации уязвимости зафиксированы исследователями безопасности
• 18 июля — начало активной атаки на Министерство энергетики, включая NNSA
• 19 июля — Microsoft выпускает первые предупреждения об активной эксплуатации
• 22 июля — Microsoft публикует детальный анализ атак и атрибуцию к китайским группировкам
• 23 июля — Bloomberg впервые сообщает о компрометации NNSA

Китайский след: государственные хакерские группировки​

Microsoft атрибутировала атаки как минимум трем китайским государственным хакерским группировкам:

Linen Typhoon (APT27, Emissary Panda)​

• Период активности: с 2012 года
• Специализация: кража интеллектуальной собственности
• Методы: долгосрочные кампании промышленного шпионажа

Violet Typhoon​

• Тип: продвинутая persistent threat (APT) группа
• Связи: китайские военные структуры
• Фокус: правительственные и оборонные цели

Storm-2603​

• Особенности: также развертывает ransomware Warlock и Lockbit
• Тактика: комбинирование шпионажа с вымогательством
• Цели: критическая инфраструктура и оборонные подрядчики

Глобальный масштаб кампании​

Атака на NNSA была частью масштабной международной кампании:

Статистика компрометации​

• Более 400 организаций по всему миру подверглись атакам
• 148 подтвержденных успешных взломов по данным Eye Security
• 10,000+ серверов SharePoint потенциально уязвимы глобально

География атак​

• Северная Америка: правительственные агентства, университеты, энергетические компании
• Европа: критическая инфраструктура, исследовательские институты
• Азия: телекоммуникационные компании, финансовые учреждения

Другие жертвы в США​

• Национальные институты здравоохранения (NIH) — скомпрометированы серверы SharePoint в Мэриленде
• Министерство внутренней безопасности — затронуты множественные компоненты
• 53 магазина Defense Commissary Agency — нарушены поставки для военных баз

Техническая сложность атаки​

Преодоление защитных механизмов​

Обход многофакторной аутентификации (MFA):

• Эксплуатация уязвимостей происходила на уровне приложения, минуя традиционные механизмы аутентификации
• Атаки затрагивали локальные установки SharePoint, а не облачные сервисы

Извлечение криптографических материалов:

• Кража ключей MachineKey позволила создавать валидные __VIEWSTATE полезные нагрузки
• Получение доступа к этим ключам превращает любой аутентифицированный запрос SharePoint в возможность удаленного выполнения кода

Создание постоянного доступа:

• Установка бэкдоров позволяет хакерам возвращаться даже после установки патчей
• Ротация украденных ключей крайне сложна и требует полной переустановки систем

Эволюция уязвимостей​

Атакуемые уязвимости представляют собой обходы предыдущих исправлений:

• CVE-2025-49704 и CVE-2025-49706 были впервые исправлены Microsoft 8 июля 2025
• CVE-2025-53770 и CVE-2025-53771 оказались вариантами исходных уязвимостей, обходящими первоначальные патчи
• Уязвимости впервые продемонстрированы на конкурсе Pwn2Own Berlin в мае 2024

Официальная реакция и минимизация ущерба​

Заявления NNSA​

Представитель Министерства энергетики Бен Дитдерих заявил:

"В пятницу, 18 июля, эксплуатация уязвимости Microsoft SharePoint zero-day начала затрагивать Министерство энергетики, включая NNSA. Министерство было минимально затронуто благодаря широкому использованию облака Microsoft M365 и очень мощным системам кибербезопасности."

Ключевые утверждения властей​

1. "Очень небольшое количество систем" было затронуто
2. Секретная информация не была скомпрометирована
3. Классифицированные сети остаются изолированными и безопасными
4. Системы управления ядерным оружием не подключены к интернету

Меры реагирования​

• Немедленная изоляция затронутых систем
• Активация планов реагирования на инциденты
• Сотрудничество с FBI и другими правоохранительными органами
• Привлечение внешних экспертов по кибербезопасности
• Ускоренная миграция в облако для минимизации рисков

Что могли получить хакеры​

Потенциально скомпрометированная информация​

Несекретные, но чувствительные данные:

• Схемы организационной структуры NNSA
• Контактная информация сотрудников
• Административные документы и процедуры
• Информация о подрядчиках и поставщиках
• Планы и графики несекретных проектов

Техническая информация:

• Конфигурации сетевой инфраструктуры
• Системные логи и метаданные
• Информация о программном обеспечении и версиях
• Схемы интеграции с другими системами

Стратегическая ценность для противника​

Даже несекретная информация может быть крайне ценной для государственного противника:

1. Картографирование сетей — понимание архитектуры IT-инфраструктуры
2. Социальная инженерия — информация о сотрудниках для будущих атак
3. Планирование атак — выявление потенциальных точек входа
4. Разведка поставщиков — информация о подрядчиках и партнера

Последствия для национальной безопасности​

Нарушение доверия к Microsoft​

Инцидент усиливает критику в адрес Microsoft относительно безопасности ее продуктов:

• 2024 год: правительственный отчет критиковал Microsoft за "серьезные нарушения" в области кибербезопасности
• 2023 год: китайские хакеры взломали электронную почту высокопоставленных чиновников США через службы Microsoft
• Недавние инциденты: ProPublica выявила, что Microsoft использует инженеров из Китая для поддержки клиентов Министерства обороны

Геополитические последствия​

Эскалация кибернетического противостояния:

• Подтверждение агрессивных намерений Китая в киберпространстве
• Необходимость пересмотра протоколов кибербезопасности
• Усиление контроля над технологическими поставщиками

Влияние на союзников:

• Подрыв доверия к американским системам безопасности
• Необходимость уведомления партнеров о потенциальных рисках
• Пересмотр соглашений о разведывательном сотрудничестве

Технические уроки инцидента​

Ограничения традиционной безопасности​

1. Воздушные зазоры не панацея — даже системы, считающиеся изолированными, могут быть скомпрометированы через промежуточные сети
2. Облачная миграция как защита — только облачные версии SharePoint не пострадали от атаки
3. Сегментация сетей критична — разделение между секретными и несекретными системами спасло от катастрофы

Проблемы управления уязвимостями​

1. Патчи как временное решение — злоумышленники быстро находят обходы исправлений
2. Zero-day как норма — современные APT группы регулярно используют неизвестные уязвимости
3. Цепочки эксплойтов — комбинирование множественных уязвимостей для максимального эффекта

Долгосрочные последствия​

Для отрасли кибербезопасности​

Переосмысление подходов:

• Ускорение перехода на модели Zero Trust
• Усиление фокуса на защите от инсайдерских угроз
• Развитие технологий поведенческой аналитики

Регулятивные изменения:

• Ужесточение требований к подрядчикам критической инфраструктуры
• Новые стандарты для поставщиков ПО
• Усиление международного сотрудничества в области кибербезопасности

Для американо-китайских отношений​

Кибернетическое измерение конфликта:

• Подтверждение кибернетической войны как реальности
• Необходимость разработки правил ведения кибервойны
• Риск эскалации в физический конфликт

Заключение: новая реальность ядерной безопасности​

Атака на NNSA знаменует собой тревожный переход в эпоху, когда даже самые защищенные институты национальной безопасности становятся объектами кибернетических атак. Хотя критически важные секретные системы остались нетронутыми, сам факт проникновения в периметр ядерного агентства должен заставить серьезно пересмотреть подходы к кибербезопасности.

Ключевые выводы:

1. Китайские APT группы достигли нового уровня дерзости, прямо атакуя ядерные объекты США
2. Microsoft SharePoint стал критической точкой отказа для тысяч организаций по всему миру
3. Традиционные методы защиты оказались недостаточными против современных государственных хакеров
4. Облачные технологии парадоксально оказались более безопасными, чем локальные установки

Этот инцидент должен стать звонком для радикального пересмотра архитектуры кибербезопасности критической инфраструктуры. В эпоху, когда государственные хакеры получают доступ к ядерным объектам, цена халатности в области кибербезопасности может быть измерена не только в долларах, но и в национальной безопасности.

Расследование инцидента продолжается. Полный масштаб компрометации и долгосрочные последствия для национальной безопасности США еще предстоит оценить.