La Administración Nacional de Seguridad Nuclear, que supervisa el diseño y el mantenimiento del Arsenal de armas nucleares de Estados Unidos, se encontraba entre aquellos cuyos sistemas se violaron como parte del reciente truco de Microsoft SharePoint.
Una fuente anónima de la NNSA dijo que no parecen haber sido robados datos clasificados o confidenciales en la violación de NNSA. Cuando se le preguntó sobre la violación, la NNSA dirigió todas las consultas al Departamento de Energía, que supervisa la administración como parte de sus responsabilidades más amplias.
"El viernes 18 de julio, la explotación de una vulnerabilidad de día cero de Microsoft SharePoint comenzó a afectar al Departamento de Energía", dijo un portavoz de la agencia.
"El departamento se vio mínimamente afectado debido a su uso generalizado de la nube Microsoft M365 y los sistemas de ciberseguridad capaces. Se impactó un pequeño número de sistemas. Todos los sistemas afectados se están restaurando".
La NNSA lleva a cabo una amplia gama de deberes más allá de manejar las armas nucleares. Construye reactores navales para la flota submarina de la Marina, responde a emergencias en el hogar y en el extranjero, ayuda a transportar armas nucleares de manera segura a través de los Estados Unidos y apoya los esfuerzos de antiterrorismo.
Esta no era la primera vez que los piratas informáticos habían penetrado en redes vinculadas a NNSA a través de una herramienta de terceros. En 2020, la agencia fue atacada en un ataque a SolarWinds Corp., cuyo software se utiliza para la gestión de redes. En ese momento, el Departamento de Energía dijo que el malware "solo había sido aislado a redes comerciales".
Microsoft culpó a hackers patrocinados por el estado de China
La violación explotó las debilidades en la plataforma de SharePoint y golpeó a los gobiernos y negocios en todo el mundo. En algunos casos, los atacantes robaron información de firmación, como nombres de usuario y contraseñas junto con tokens y códigos hash, según un informe anterior de Bloomberg.
Más allá del Departamento de Energía, esta violación se extendió a los sistemas en los gobiernos nacionales en todo mí y la UE, así como a varias agencias estadounidenses, incluido el departamento de educación, la Asamblea General de Rhode Island y el Departamento de Ingresos de Florida.
Los investigadores dicen que aún se está determinando el alcance completo de la intrusión. Los defectos de software afectan a las organizaciones que ejecutan SharePoint localmente en lugar de a través del servicio en la nube de Microsoft, dejando en riesgo las instalaciones en el sitio.
En una publicación de blog , Microsoft nombró a dos equipos de piratería vinculados a China. Estos incluyen Violet Typhoon y Linen Typhoon. La publicación mencionó un tercer grupo llamado Storm-2603 utilizando tácticas similares para violar los sistemas.
El lunes, Charles Carmakal, director de tecnología de Mandiant, una firma de seguridad cibernética propiedad de Google, dijo en una publicación de LinkedIn: "Evaluamos que al menos uno de los actores responsables de la explotación temprana es un actor de amenaza de China-Nexus".
La Agencia de Seguridad de Ciberseguridad e Infraestructura de los Estados Unidos, o CISA, confirmó el domingo que era "consciente de la explotación activa" de la debilidad de SharePoint. Microsoft respondió emitiendo parches para versiones locales de SharePoint, luego lanzó una tercera solución el lunes.
SharePoint es una parte central de la suite de oficina de Microsoft. Sirve como un centro de colaboración, permitiendo que los empleados dentro de las organizaciones accedan a archivos y documentos compartidos a través de un portal central.
Microsoft ha sido atacado por equipos de piratas informáticos chinos en el pasado
El año pasado, el Director Ejecutivo de Microsoft Satya Nadella declaró la ciberseguridad como la principal prioridad para la compañía después de que un informe del gobierno criticó la respuesta de la compañía a una violación china de cuentas de correo electrónico pertenecientes a funcionarios.
A principios de este mes, Microsoft dijo a los clientes que ya no confiaría en los ingenieros chinos para los servicios en la nube proporcionados al Pentágono, luego de los informes de los medios de comunicación de que la configuración podría haber permitido ataques a los sistemas de defensa pertenecientes a los EE. UU.
En 2021, otro grupo llamado Hafnium, vinculado a China, explotó un defecto separado en el software de Exchange Server de Microsoft para entrar en redes en las organizaciones de todo el mundo.
En un comunicado enviado por correo electrónico a los periodistas, la embajada china en Washington dijo que Beijing se opuso a "todas las formas de ataques cibernéticos" y advirtió contra "manchar a otros sin evidencia sólida".
Los investigadores de seguridad vieron por primera vez la vulnerabilidad en mayo durante un concurso de piratería en Berlín organizado por Trend Micro. El evento ofreció premios cash a aquellos que podían encontrar errores de software no revelados. La competencia incluyó un premio de $ 100,000 por exploits de día cero dirigidos a SharePoint, destacando cuán altos pueden ser estos defectos ocultos.
Academia Cryptopolitan: Próximamente, una nueva forma de obtener ingresos pasivos con DeFi en 2025. Obtenga más información
