Atak na zakład produkujący komponenty do amerykańskiej broni jądrowej

Nieznani atakujący uzyskali dostęp do danych Kansas City National Security Campus (KCNSC), czyli podmiotu podlegający Narodowej Administracji Bezpieczeństwa Jądrowego (NNSA). Powodem były podatności w Microsoft SharePoint, o których pisaliśmy już w lipcu.

TLDR:

• Atakujący wykorzystali dwie krytyczne luki w Microsoft SharePoint, umożliwiające zdalne wykonanie kodu i obejście uwierzytelniania, aby uzyskać dostęp do instancji Kansas City National Security Campus.
• KCNSC produkuje większość niejądrowych komponentów amerykańskiej broni jądrowej – wyciek danych stwarza ryzyko ujawnienia procesów i zależności w łańcuchu dostaw.
• Wykorzystane podatności są obejściem łatki wydanej przez Microsoft dla poprzednich, zaprezentowanych w maju luk.
• Atak przypisuje się zarówno chińskim i rosyjskim grupom, więc nie wiadomo kto dokładnie za nim stoi.

Wyciek dotyczył zakładu produkującego zdecydowaną większość niejądrowych komponentów do amerykańskiej broni jądrowej w ramach NNSA, agencji Departamentu Energii (DOE), która nadzoruje projektowanie, produkcję i konserwację amerykańskiej broni jądrowej. Nie ustalono, kim są atakujący – spekuluje się jedynie, że są to przedstawiciele Chin lub Rosji.

Wykorzystali oni dwie podatności w programie Microsoft SharePoint – CVE-2025-53770 oraz CVE-2025-53771 – obie luki dotyczą serwerów utrzymywanych lokalnie (on-premise). Firma Microsoft opublikowała do nich poprawki 19 lipca.

Według analizy Eye Security pierwsza podatność pozwalała na zdalne wykonanie kodu w kontekście procesu w3wp.exe, a druga umożliwiała obejście uwierzytelniania (m.in. manipulacje żądaniem do /_layouts/15/ToolPane.aspx i nagłówkiem Referer). W praktyce atakujący mógł wywołać RCE (Remote Code Execution). Skutkiem było uzyskanie pełnej kontroli nad webową instancją SharePoint, w tym uruchamianie procesów czy kradzież kluczy/sekretów.

22 lipca NNSA potwierdziła, że ​​jest jedną z organizacji dotkniętych atakami wykorzystującymi luki w SharePoint, jednak nie podano szczegółów dotyczących ataku. Wskazano jedynie, że miał on miejsce 18 lipca. Jak podało źródło CSO, na początku sierpnia pracownicy federalni, w tym personel NSA, byli już na miejscu w ośrodku w Kansas City.

Placówka w stanie Missouri – zarządzana przez Honeywell Federal Manufacturing & Technologies na podstawie umowy z NNSA – produkuje komponenty niejądrowe wykorzystywane w amerykańskich systemach obrony. Świadczy również usługi techniczne, analizy i badania środowiskowe.

Większość części niejądrowych w arsenale nuklearnym pochodzi z KCNSC. Chociaż szczegóły projektowe pozostają tajne, rola produkcyjna zakładu sprawia, że ​​jest to jeden z bardziej wrażliwych obiektów w federalnym kompleksie zbrojeniowym.

Microsoft przypisał falę ataków na SharePoint trzem powiązanym z Chinami grupom: Linen Typhoon, Violet Typhoon i trzeciemu podmiotowi, który nazwano Storm-2603. Jednak źródło CSO poinformowało, że za włamaniem stał rosyjski, a nie chiński podmiot. Dane firmy Resecurity, która monitorowała ataki na platformę SharePoint, wskazywały głównie na chińskie ugrupowania państwowe, ale nie wykluczały zaangażowania Rosji.

Badacze z Resecurity twierdzą, że choć chińskie grupy najprawdopodobniej znalazły podatność, rosyjscy atakujący mogli niezależnie odtworzyć ten exploit, zanim pod koniec czerwca zaczęły publicznie pojawiać się szczegóły techniczne.

Zaobserwowali oni wczesną fazę skanowania i eksploatacji luk w zabezpieczeniach z infrastruktury zlokalizowanej na Tajwanie, w Wietnamie, Korei Południowej i Hongkongu. Jest to schemat dystrybucji zgodny z taktykami stosowanymi przez chińskie grupy w celu ukrycia źródła.

W maju podczas konferencji Pwn2Own w Berlinie badacze z Viettel Cyber ​​Security zademonstrowali dwie luki SharePoint – CVE-2025-49706 i CVE-2025-49704. Według źródeł CSO te demonstracje prawdopodobnie przyspieszyły wykorzystanie luk przez cyberprzestępców. Wykorzystane w lipcu podatności są obejściem poprawek tych, które pokazano na konferencji.

Choć najprawdopodobniej usługi IT KCNSC są odizolowane od faktycznych systemów obsługujących produkcję, incydent rodzi pytania o bezpieczeństwo tak kluczowej infrastruktury. Choć nie ma dowodów, by w wyniku tych podatności wyciekły informacje o nadanej klauzuli tajności, problemem jest sam fakt wycieku jakichkolwiek danych ze strategicznych obszarów.

Tego typu informacje mogłyby pomóc zrozumieć zależności w łańcuchu dostaw lub procesy produkcyjne, które są poufne, nawet jeśli formalnie nie są opatrzone klauzulą tajności.

Niezależnie od tego, czy intruzami byli chińscy aktorzy państwowi, czy rosyjscy cyberprzestępcy, włamanie do KCNSC pokazuje niebezpieczne powiązania między bezpieczeństwem informatycznym a operacyjnym w krytycznej infrastrukturze obronnej. Jak podkreśla w rozmowie z CSO Jen Sovada – dyrektor generalny ds. sektora publicznego w Claroty – nie można postrzegać cyberbezpieczeństwa wyłącznie jako koncepcji informatycznej. Dotyczy ono także systemów fizycznych, które stanowią podstawę obrony narodowej.

Źródła:

• www.csoonline.com
• edition.cnn.com
• www.microsoft.com
• reuters.com
• www.energy.gov
• www.microsoft.com
• www.resecurity.com
• www.bleepingcomputer.com
• research.eye.security

~Tymoteusz Jóźwiak