La National Nuclear Security Administration, che supervisiona la progettazione e la manutenzione dell'arsenale di armi nucleari degli Stati Uniti, è stata tra coloro i cui sistemi sono stati violati nell'ambito del recente attacco informatico a Microsoft SharePoint.
Una fonte anonima della NNSA ha affermato che nessun dato classificato o sensibile sembra essere stato rubato durante la violazione dei dati della NNSA. Interpellato in merito alla violazione, la NNSA ha indirizzato tutte le indagini al Dipartimento dell'Energia, che sovrintende all'amministrazione nell'ambito delle sue più ampie responsabilità.
"Venerdì 18 luglio, lo sfruttamento di una vulnerabilità zero-day di Microsoft SharePoint ha iniziato a colpire il Dipartimento dell'Energia", ha affermato un portavoce dell'agenzia.
Il dipartimento ha subito un impatto minimo grazie all'ampio utilizzo del cloud Microsoft M365 e ai sistemi di sicurezza informatica efficienti. Un numero limitato di sistemi è stato interessato. Tutti i sistemi interessati sono in fase di ripristino.
La NNSA svolge una vasta gamma di compiti che vanno oltre la gestione delle armi nucleari. Costruisce reattori navali per la flotta sottomarina della Marina, risponde alle emergenze in patria e all'estero, contribuisce al trasporto sicuro di armi nucleari negli Stati Uniti e supporta le attività antiterrorismo.
Non era la prima volta che gli hacker penetravano nelle reti collegate alla NNSA tramite uno strumento di terze parti. Nel 2020, l'agenzia era stata presa di mira da un attacco a SolarWinds Corp., il cui software viene utilizzato per la gestione delle reti. All'epoca, il Dipartimento dell'Energia dichiarò che il malware era "stato isolato solo alle reti aziendali".
Microsoft accusa hacker cinesi sponsorizzati dallo Stato
La violazione ha sfruttato le debolezze della piattaforma SharePoint e ha colpito governi e aziende in tutto il mondo. In alcuni casi, gli aggressori hanno rubato informazioni di accesso come nomi utente e password, insieme a token e codici hash, secondo un precedente rapporto di Bloomberg.
Oltre al Dipartimento dell'Energia, questa violazione si è estesa ai sistemi dei governi nazionali del Medio Oriente e dell'Unione Europea, nonché a diverse agenzie statunitensi, tra cui il Dipartimento dell'Istruzione, l'Assemblea generale del Rhode Island e il Dipartimento delle Entrate della Florida.
Gli investigatori affermano che la portata completa dell'intrusione è ancora in fase di definizione. Le falle software interessano le organizzazioni che eseguono SharePoint in locale anziché tramite il servizio cloud di Microsoft, esponendo le installazioni in loco a un rischio particolarmente elevato.
In un post sul blog di martedì, Microsoft ha nominato due gruppi di hacker legati alla Cina, tra cui Violet Typhoon e Linen Typhoon. Il post menzionava un terzo gruppo, chiamato Storm-2603, che utilizzava tattiche simili per violare i sistemi.
Lunedì, Charles Carmakal, direttore tecnico di Mandiant, un'azienda di sicurezza informatica di proprietà di Google, ha dichiarato in un post su LinkedIn: "Valutiamo che almeno uno degli attori responsabili dello sfruttamento iniziale è un attore di minacce connesso alla Cina".
La Cybersecurity and Infrastructure Security Agency (CISA) statunitense ha confermato domenica di essere "a conoscenza dello sfruttamento attivo" della vulnerabilità di SharePoint. Microsoft ha risposto rilasciando patch per le versioni locali di SharePoint, per poi rilasciare una terza correzione lunedì.
SharePoint è un componente fondamentale della suite Office di Microsoft. Funge da hub di collaborazione, consentendo ai dipendenti all'interno delle organizzazioni di accedere a file e documenti condivisi tramite un portale centrale.
In passato Microsoft è stata attaccata da team di hacker cinesi
L'anno scorso, l'amministratore delegato di Microsoft Satya Nadella ha dichiarato che la sicurezza informatica era la massima priorità dell'azienda, dopo che un rapporto governativo aveva criticato duramente la risposta dell'azienda a una violazione cinese degli account di posta elettronica appartenenti a funzionari.
All'inizio di questo mese, Microsoft ha comunicato ai clienti che non avrebbe più fatto affidamento sugli ingegneri cinesi per i servizi cloud forniti al Pentagono, in seguito alle notizie riportate dai media secondo cui tale configurazione avrebbe potuto consentire attacchi ai sistemi di difesa degli Stati Uniti.
Nel 2021, un altro gruppo chiamato Hafnium, legato alla Cina, ha sfruttato un'altra falla nel software Exchange Server di Microsoft per accedere alle reti di organizzazioni in tutto il mondo.
In una dichiarazione inviata via e-mail ai giornalisti, l'ambasciata cinese a Washington ha affermato che Pechino si oppone a "tutte le forme di attacchi informatici" e ha messo in guardia dal "diffamare altri senza prove concrete".
I ricercatori di sicurezza hanno individuato per la prima volta la vulnerabilità a maggio durante un concorso di hacking organizzato da Trend Micro a Berlino. L'evento offriva premi in denaro a chi fosse riuscito a trovare bug software non divulgati. La competizione includeva un premio di 100.000 dollari per gli exploit zero-day che prendevano di mira SharePoint, evidenziando quanto queste falle nascoste possano essere pericolose.
KEY Difference Wire aiuta i marchi di criptovalute a sfondare e dominare rapidamente i titoli dei giornali