La National Nuclear Security Administration, qui supervise la conception et l'entretien de l'arsenal des armes nucléaires américaines, faisait partie de ceux dont les systèmes ont été violés dans le cadre du récent hack Microsoft Sharepoint.
Une source anonyme de la NNSA a déclaré qu'aucune donnée classifiée ou sensible ne semble avoir été volée dans la violation de la NNSA. Interrogé sur la violation, la NNSA a dirigé toutes les enquêtes au ministère de l'Énergie, qui supervise l'administration dans le cadre de ses responsabilités plus larges.
"Vendredi 18 juillet, l'exploitation d'une vulnérabilité de Microsoft Sharepoint zéro-day a commencé à affecter le ministère de l'Énergie", a déclaré un porte-parole de l'agence.
«Le ministère a été peu impacté en raison de son utilisation généralisée du cloud Microsoft M365 et des systèmes de cybersécurité capables. Un petit nombre de systèmes ont été touchés. Tous les systèmes impactés sont en cours de restauration.»
La NNSA exerce un large éventail de tâches au-delà de la gestion des armes nucléaires. Il construit des réacteurs navals pour la flotte sous-marine de la Marine, répond aux urgences au pays et à l'étranger, aide à transporter des armes nucléaires en toute sécurité à travers les États-Unis et soutient les efforts de lutte contre le terrorisme.
Ce n'était pas la première fois que les pirates pirataient des réseaux liés à la NNSA via un outil tiers. En 2020, l'agence a été ciblée dans une attaque contre Solarwinds Corp., dont le logiciel est utilisé pour la gestion du réseau. À l'époque, le département de l'énergie a déclaré que les logiciels malveillants avaient «été isolés uniquement des réseaux d'entreprise».
Microsoft a blâmé les pirates de Chine parrainés par l'État
La violation a exploité les faiblesses de la plate-forme SharePoint et a frappé les gouvernements et les entreprises du monde entier. Dans certains cas, les attaquants ont volé des informations sur le signe tel que les noms d'utilisateur et les mots de passe ainsi que les jetons et les codes de hachage, selon un rapport de Bloomberg antérieur.
Au-delà du Département de l'énergie, cette violation s'est étendue aux systèmes des gouvernements nationaux à travers moi et l'UE, ainsi qu'à plusieurs agences américaines, notamment le Département de l'éducation, l'Assemblée générale du Rhode Island et le Département des revenus de la Floride.
Les enquêteurs disent que la portée complète de l'intrusion est toujours en cours de détermination. Les défauts logiciels affectent les organisations qui exécutent SharePoint localement plutôt que via le service cloud de Microsoft, laissant des installations sur place en particulier à risque.
Dans un article de blog , Microsoft a nommé deux équipes de piratage liées à la Chine. Il s'agit notamment du typhon violet et du typhon en lin. Le Post a mentionné un troisième groupe appelé Storm-2603 en utilisant des tactiques similaires pour violer les systèmes.
Lundi, Charles Carmakal, directeur de la technologie chez Mandiant, une société de cybersécurité appartenant à Google, a déclaré dans un article LinkedIn: "Nous évaluons qu'au moins l'un des acteurs responsables de l'exploitation précoce est un acteur de menace de Chine-Nexus."
L'agence américaine de sécurité de cybersécurité et d'infrastructure, ou CISA, a confirmé dimanche qu'elle était «consciente de l'exploitation active» de la faiblesse de SharePoint. Microsoft a répondu en émettant des correctifs pour les versions locales de SharePoint, puis a publié lundi un troisième correctif.
SharePoint fait partie de la suite de bureaux de Microsoft. Il sert de centre de collaboration, permettant aux employés des organisations d'accéder aux fichiers et documents partagés via un portail central.
En 2021, un autre groupe appelé Hafnium, lié à la Chine, a exploité une faille distincte dans le logiciel Exchange Server de Microsoft pour s'introduire dans des réseaux dans les organisations du monde entier.
L'année dernière, le chef de la direction de Microsoft Satya Nadella a déclaré la cybersécurité comme la priorité absolue pour la société après qu'un rapport gouvernemental a critiqué la réponse de l'entreprise à une violation chinoise des comptes de messagerie appartenant aux fonctionnaires.
Plus tôt ce mois-ci, Microsoft a déclaré aux clients qu'il ne compterait plus sur les ingénieurs chinois pour les services cloud fournis au Pentagone, à la suite des rapports des médias selon lesquels la configuration aurait pu permettre des attaques contre des systèmes de défense appartenant aux États-Unis.
En 2021, un autre groupe appelé Hafnium, lié à la Chine, a exploité une faille distincte dans le logiciel Exchange Server de Microsoft pour s'introduire dans des réseaux dans les organisations du monde entier.
Dans un communiqué envoyé par courrier électronique aux journalistes, l'ambassade chinoise de Washington a déclaré que Pékin s'est opposé à "toutes les formes de cyberattaques" et a averti de "salir les autres sans preuves solides".
Des chercheurs en sécurité ont d'abord repéré la vulnérabilité en mai lors d'un concours de piratage à Berlin organisé par Trend Micro. L'événement a offert des prix cash à ceux qui pourraient trouver des bogues logiciels non divulgués. Le concours comprenait un prix de 100 000 $ pour les exploits zéro-jours ciblant SharePoint, soulignant à quel point ces défauts cachés peuvent être élevés.
Cryptopolitan Academy: à venir bientôt - une nouvelle façon de gagner un revenu passif avec DeFi en 2025. En savoir plus
