Китайские хакеры, воспользовались ранее неизвестной уязвимостью в SharePoint, чтобы атаковать критические инфраструктурные объекты США, включая Национальное управление ядерной безопасности (NNSA). Это управление отвечает за обеспечение ВМС США ядерными реакторами для подводных лодок. Инцидент стал достоянием общественности спустя несколько часов после того, как Microsoft официально подтвердила эксплуатацию уязвимости хакерскими группами, действующими в интересах Китая.
Атака затронула более 50 организаций, что свидетельствует о масштабности угрозы. Эксплойт воздействовал исключительно на локальные версии SharePoint, в то время как облачный сервис SharePoint Online, входящий в состав Microsoft 365, остался незатронутым. Несмотря на серьезность инцидента, представители американских властей утверждают, что утечки секретных или особо важных данных не произошло.
Минимальные последствия атаки объясняются тем, что Министерство энергетики США в основном полагается на облачные системы Microsoft 365, а не на локальные серверы SharePoint. «Ведомство подверглось минимальному воздействию благодаря широкому использованию облака Microsoft M365 и высокоэффективным системам кибербезопасности», - заявил представитель министерства. Он также уточнил, что пострадало лишь «очень небольшое количество систем», и все они в настоящее время восстанавливаются.
Microsoft оперативно выпустила патчи для всех уязвимых версий SharePoint. Однако сам факт эксплуатации zero-day-уязвимости вызывает тревогу, поскольку злоумышленники могли удаленно получать доступ к серверам, красть данные, включая пароли, и даже перемещаться по связанным сервисам внутри корпоративных сетей.
Исследователи кибербезопасности установили, что уязвимость возникла из-за комбинации двух ошибок, впервые представленных на хакерском конкурсе Pwn2Own в мае этого года. Это наводит на мысль, что информация об уязвимостях могла быть известна в узких кругах задолго до их активного использования киберпреступниками.
Хотя непосредственная угроза была устранена, этот случай служит тревожным напоминанием о том, что государственные ИТ-системы остаются уязвимыми перед атаками высокого уровня сложности. Несмотря на усилия по защите данных, угрозы со стороны иностранных спецслужб и хакерских группировок требуют непрерывного мониторинга, своевременного обновления ПО и комплексного подхода к информационной безопасности.
Эксперты предупреждают, что подобные атаки могут повториться, особенно с учетом того, что киберпространство становится ключевой ареной геополитического противостояния. Властям и корпорациям необходимо активнее инвестировать в кибербезопасность, чтобы предотвратить потенциально катастрофические последствия будущих взломов.
