Поделиться
Хакеры из Китая атаковали ядерное агентство США
Некоторые компьютеры национального управления по ядерной безопасности США подверглись взлому при крупномасштабной хакерской кибератаке на Microsoft. Специалисты Microsoft 22 июля 2025 г. обвинили хакерские группы Linen Typhoon и Violet Typhoon в эксплуатации ИТ-уязвимости ее программы, и эти хакерские группы якобы связаны с правительством Китая.
ИТ-атака на США
Хакеры атаковали Национальное управление по ядерной безопасности США, пишет Bloomberg. Кибератака была частью действий хакеров против ИТ-системы управления документами SharePoint от Microsoft.
По информации Bloomberg со ссылкой на чиновников и частных исследователей по кибербезопасности, хакеры воспользовались крупной ИТ-уязвимостью в безопасности широко используемого серверного программного обеспечения (ПО) Microsoft для проведения глобальной кибератаки на правительственные агентства и компании с 20 по 22 июля 2025 г.
Сообщается, что целями хакеров стали государственные и региональные ведомства, а также университеты и энергетические компании на территории Соединенных Штатов. Национальное управление ядерной безопасности выполняет ключевые задачи, включая обеспечение военно-морских сил (ВМС) США ядерными реакторами для подводных лодок, реагирование на радиологические чрезвычайные ситуации, борьбу с терроризмом и транспортировку ядерного оружия внутри страны. В 2020 г. управление ядерной безопасности уже становилось жертвой кибератаки из-за уязвимости в ПО компании SolarWinds.
SharePoint — это ИТ-платформа от Microsoft для организации совместной работы и управления документами. Она позволяет хранить, организовывать, совместно использовать и получать доступ к информации в организации, а также создавать сайты для совместной работы и управления контентом. По данным Microsoft, к июльской киюбератаке были причастны хакеры из Китая — члены связанных с правительством групп Linen Typhoon и Violet Typhoon. Кроме того, была отмечена активность хакеров еще одной связанной с Китаем группировки — Storm-2603 в отношении SharePoint.
Среди жертв атаки — Министерство образования США, Департамент доходов штата Флорида и Генеральная ассамблея Род-Айленда. В некоторых случаях хакеры смогли получить доступ к учетным данным SharePoint, включая имена пользователей и пароли. Полный масштаб последствий ИТ-атаки пока не установлен.
Посол Китая в США Се Фэн (Xie Feng) ответил на обвинения сообщением, что Пекин решительно выступает против всех форм кибератак и киберпреступности, а также против очернения других лиц без веских доказательств, указывает Bloomberg. Китайский посол сравнил международные торговые потоки с кровеносной системой и предложил Вашингтону использовать проверенные временем принципы традиционной китайской медицины: искать причину болезни, а не фокусироваться на симптомах и не выписывать рецепты другим, если болен сам.
Расследование ИТ-инцидента
По данным The Washington Post, власти США, Канады и Австралии уже запустили расследование по вопросу уязвимости серверов SharePoint. Отмечается, что в компании Microsoft предложили пользователям внести изменения в серверные программы или просто отключить их от интернета, чтобы избежать утечек информации, но от дальнейших комментариев отказались.
Ситуация привела к критике в адрес Microsoft. Сенатор-демократ Рон Уайден (Ron Wyden) заявил, что государственные учреждения зависимы от ИТ-компании, которая не только не заботится о безопасности, но и зарабатывает миллиарды долларов на продаже премиальных услуг по кибербезопасности для устранения недостатков в своих ИТ-продуктах. Бывший американский чиновник по кибербезопасности Роджер Кресси (Roger Cressey) также отметил, что если у цифровой экосистемы только один поставщик ИТ-продуктов, то последствия его ошибок могут быть катастрофическими.
Разработчики же Microsoft утверждают, что в данной ситуации быстро приняла меры для защиты пользователей и в рамках инициативы Secure Future сосредоточена на ускорении и усилении мер реагирования на ИТ-инциденты, связанные с кибербезопасностью.
Возможные эксплойты
Как сообщал CNews, хакерские группировки начали интенсивно эксплуатировать уязвимость нулевого дня в Microsoft SharePoint Server, которой присвоен индекс CVE-2025-53770, под кибератакой находится и следующая за ней — CVE-2025-53771. Уязвимость CVE-2025-53770 получила почти максимальную оценку угроз по шкале CVSS — 9,8 балла из 10 возможных. При этом ее называют плохо запатченной другой, более ранней уязвимости — CVE-2025-49704, которая также была выявлена в 2025 г. и устранена в рамках июльского кумулятивного обновления.
Со слов директора по информационной безопасности (ИБ) компании SEQ Анастасии Мельниковой, речь, по-видимому, идет о недоработанном изначально патче, который хакеры смогли обойти. Тот факт, что ИТ-угроза от нового варианта оценивается намного выше, чем от оригинала, означает, что установку внеочередных обновлений необходимо произвести в приоритетном порядке, вне зависимости от того, являются ли они финальным вариантом или промежуточным.
Угроза от CVE-2025-49704 оценивалась в 8,8 баллов по шкале CVSS, на полный балл ниже, чем в случае CVE-2025-53770. Впрочем, возможность запуска произвольного кода фигурирует в обоих случаях. Разница в том, что эксплуатация CVE-2025-53770 возникает вследствие десериализации недоверенных данных в локальных установках SharePoint Server и никакой авторизации для этого не требуется.
Фрилансеры из Китая
В июле 2025 г. глава минобороны США Пит Хегсет (Pete Hegseth) рассказал о том, что Пентагон в экстренном порядке проверит информацию о доступе программистов из Китая к компьютерным системам ведомства на правах субподрядчиков Microsoft, об этом уже писал CNews.
Расследование ProPublica выявило, что руководители Microsoft почти десятилетие привлекала китайских инженеров к работе над облачными системами Минобороны США через механизм «цифрового сопровождения». Эксперты считают, что такая практика создает риск утечки секретных данных на фоне усиливающегося технологического противостояния между США и Китаем.
Сама программа «цифрового сопровождение» в США предполагает, что китайские ИТ-специалисты подают заявки на решение специфических технических задач, передавая команды удаленно через Microsoft Teams американским «эскортам» с доступом к секретным данным. Эти «эскорты», не всегда обладая нужной квалификацией, вводят команды в федеральные облачные сервисы уровней Impact 4/5, где утечка данных может привести к уже серьезным или катастрофическим последствиям для военных операций.
Проблема заключается в том, что многие участники программы «цифрового сопровождения» не обладают достаточной технической подготовкой и зачастую уступают в ИТ-навыках китайским инженерам, которых они должны контролировать. Обычно это бывшие военные с минимальным опытом программирования и низкой заработной платой. Грубо говоря за сеньорами, следят ИТ-специалисты ниже уровня джуниор.
Короткая ссылка
