Китайские хакеры получили доступ к производству ядерного оружия США. Спасибо, SharePoint

leer en español

NNSA Honeywell Microsoft SharePoint Resecurity Китай кибератака ядерное оружие
Китайские хакеры получили доступ к производству ядерного оружия США. Спасибо, SharePoint
NNSA Honeywell Microsoft SharePoint Resecurity Китай кибератака ядерное оружие

80% ключевых компонентов для ядерного арсенала США производили здесь.

image

Правительственные хакеры взломали предприятие по производству компонентов для ядерного оружия США, воспользовавшись уязвимостями в Microsoft SharePoint. Инцидент затронул Национальный центр безопасности Канзас-Сити (Kansas City National Security Campus, KCNSC), входящий в Национальное управление ядерной безопасности (NNSA) при Министерстве энергетики США. По данным источников, атака произошла в августе и была связана с эксплуатацией неустранённых ошибок CVE-2025-53770 и CVE-2025-49704, позволяющих выполнить удалённый код на сервере SharePoint.

Предприятие управляется компанией Honeywell Federal Manufacturing & Technologies и выпускает большую часть неядерных механических и электронных компонентов для американского ядерного арсенала. На его территории работают подразделения, отвечающие за металлографию, аналитическую химию, экологические испытания и моделирование. Примерно 80% всех деталей для ядерных боеприпасов США производятся именно здесь, что делает объект одной из самых чувствительных точек оборонной инфраструктуры.

Microsoft выпустила обновления безопасности 19 июля, однако уже 18 числа злоумышленники начали использовать найденные бреши. Министерство энергетики подтвердило факт атак, но заявило, что ущерб оказался ограниченным благодаря переходу большинства систем на облачную платформу Microsoft 365. Восстановительные работы велись при участии специалистов АНБ, прибывших в начале августа.

Специалисты не пришли к единому мнению о происхождении атакующих. Microsoft связывает волну эксплуатации SharePoint с китайскими группами Linen Typhoon, Violet Typhoon и Storm-2603, которые, по данным корпорации, готовили развёртывание программы Warlock. Компания Resecurity, отслеживавшая кампанию, считает более вероятной причастность китайских структур, но допускает участие группировок из других стран, получивших доступ к эксплойтам через обмены в даркнете. По данным специалистов, уязвимости могли быть воспроизведены после демонстрации их на Pwn2Own Berlin исследователями Viettel Cyber Security, что ускорило распространение эксплойтов в даркнете.

Сканирование и первые атаки шли с серверов в Тайване, Вьетнаме, Южной Корее и Гонконге — типичная география для операций китайских APT-групп, пытающихся скрыть источник активности. В Resecurity отмечают, что в основе кампании лежало злоупотребление программой Microsoft Active Protections Program (MAPP), предоставляющей партнёрам ранний доступ к данным об уязвимостях. Однако после того, как технические детали попали в открытые источники, эксплойты начали использовать и другие злоумышленники.

Хотя атака была направлена на ИТ-инфраструктуру предприятия, специалисты по промышленной безопасности указывают на опасность возможного перехода на уровень операционных систем (OT), управляющих роботизированными сборочными линиями, программируемыми логическими контроллерами (ПЛК) и системами SCADA, отвечающими за энергоснабжение и контроль среды. Даже при физической изоляции производственного контура от корпоративной сети риски полного пересечения каналов нельзя исключать.

Инцидент стал примером того, как отставание мер кибербезопасности в операционных средах создаёт угрозу стратегическим объектам. В то время как федеральные ведомства уже внедряют архитектуру «нулевого доверия» для ИТ-инфраструктуры, аналогичная система для производственных сетей пока находится в стадии разработки. Министерство обороны готовит собственный набор мер контроля для OT-сред, которые в будущем должны быть интегрированы с общим федеральным стандартом.

Даже если злоумышленники получили доступ только к не засекреченным данным, такие сведения имеют высокую ценность. Технические спецификации, допуски и параметры сборки могут пролить свет на точность американских вооружений, структуру цепочек поставок или методы контроля качества. Это позволяет противникам косвенно оценивать надёжность и технологические возможности оборонных программ США.

Позднее Министерство энергетики официально подтвердило, что уязвимость в SharePoint действительно использовалась против NNSA, но ущерб был минимальным, а компрометации секретной информации не выявлено. Тем не менее случай подчеркнул уязвимость оборонной промышленности даже перед атаками, затрагивающими лишь корпоративные системы.