مهاجمان ناشناخته با اکسپلویت زنجیرهای از آسیبپذیریهای روز-صفر اخیرا پچشده در Microsoft SharePoint، به شبکههای اداره امنیت ملی هستهای (NNSA) ایالات متحده نفوذ کردند. NNSA، نهادی نیمهخودمختار زیرمجموعه وزارت انرژی ایالات متحده، وظیفه حفظ ذخایر تسلیحات هستهای کشور و مدیریت اضطرابات هستهای و رادیولوژیکی در داخل و خارج از آمریکا را بر عهده دارد.
جزئیات نفوذ به NNSA
سخنگوی وزارت انرژی اعلام کرد که در 18 ژوئیه، مهاجمان با اکسپلویت یک آسیبپذیری روز-صفر در Microsoft SharePoint به شبکههای NNSA دسترسی یافتند. به دلیل استفاده گسترده از پلتفرم ابری Microsoft 365 و سیستمهای امنیتی پیشرفته، تأثیر این نفوذ محدود بود و تنها تعداد کمی از سیستمها تحت تأثیر قرار گرفتند که هماکنون در حال بازسازی هستند. منابع داخلی NNSA، طبق گزارش بلومبرگ، تأیید کردند که هیچ شواهدی از به خطر افتادن اطلاعات حساس یا طبقهبندیشده در این حمله وجود ندارد.
بر اساس گزارش بلومبرگ، مهاجمان همچنین به سیستمهای وزارت آموزش ایالات متحده، اداره درآمد ایالت فلوریدا، مجمع عمومی رود آیلند و شبکههای دولتهای ملی در اروپا و خاورمیانه نفوذ کردهاند.
در سال ۲۰۱۹ نیز، گروه هکری تحت حمایت دولت روسیه، APT29 (شاخه هکری سرویس اطلاعات خارجی روسیه SVR)، با استفاده از یک بهروزرسانی تبدیل به تروجان شده SolarWinds Orion به NNSA نفوذ کرده بود.
ارتباط با گروههای هکری چینی
در 22 ژوئیه، شرکتهای مایکروسافت و گوگل اعلام کردند که حملات گستردهای که زنجیره آسیبپذیری روز-صفر Microsoft SharePoint (معروف به ToolShell) را هدف قرار دادهاند، به گروههای هکری تحت حمایت دولت چین نسبت داده شدهاند.
مایکروسافت گزارش داد که دو گروه هکری چینی به نامهای Linen Typhoon و Violet Typhoon، سرورهای SharePoint متصل به اینترنت را هدف اکسپلویت قرار دادهاند. همچنین، گروه هکری دیگری مستقر در چین، با نام Storm-2603، از این آسیبپذیریها سوءاستفاده کرده است. تحقیقات درباره سایر گروههای دخیل در این اکسپلویتها ادامه دارد.
گستردگی حملات
شرکت امنیت سایبری هلندی Eye Security در 20 ژوئیه برای اولین بار این حملات روز-صفر را شناسایی کرد و گزارش داد که دستکم ۵۴ سازمان، از جمله نهادهای دولتی ملی و شرکتهای چندملیتی، نفوذ شدهاند. شرکت Check Point اعلام کرد که نشانههای سوءاستفاده از این آسیبپذیریها از ۷ ژوئیه در سازمانهای دولتی، مخابراتی و فناوری در آمریکای شمالی و اروپای غربی مشاهده شده است.
پیتر کرخوفس، مدیر ارشد فناوری Eye Security، اظهار داشت که تعداد سازمانهای نفوذشده، که بسیاری از آنها برای مدت طولانی آلوده بودهاند، بسیار بیشتر است. طبق آمار این شرکت، مهاجمان تاکنون حداقل ۴۰۰ سرور را با بدافزار آلوده کرده و به ۱۴۸ سازمان در سراسر جهان نفوذ کردهاند.
اقدامات CISA
آژانس امنیت سایبری و زیرساختهای ایالات متحده (CISA) نقص اجرای کد از راه دور CVE-2025-53770، بخشی از زنجیره اکسپلویت ToolShell، را به فهرست آسیبپذیریهای مورد سوءاستفاده اضافه کرد و به آژانسهای فدرال ایالات متحده دستور داد تا ظرف یک روز سیستمهای خود را ایمن کنند.
