US-Atombehörde von SharePoint-Cyberangriff betroffen

In einem weiteren alarmierenden Beispiel dafür, dass Regierungssysteme Cyberbedrohungen zum Opfer fallen, wurde die National Nuclear Security Administration (NNSA) — die US-Behörde, die für die Aufrechterhaltung des Atomwaffenarsenals des Landes verantwortlich ist — Berichten zufolge in einem Cyberangriff kompromittiert, der eine kritische Schwachstelle in Microsofts SharePoint-Dokumentensoftware ausnutzte.

Laut einem Bericht von Bloomberg News ist der Vorfall Teil einer größeren Welle von Cyberangriffen, die eine Zero-Day-Schwachstelle in lokalen Versionen von Microsofts SharePoint-Software ins Visier nahmen und mehr als 50 Organisationen weltweit betrafen.

Was ist die NNSA?

Die National Nuclear Security Administration (NNSA) ist eine halbautonome Behörde innerhalb des US-Energieministeriums, die für den Schutz der nationalen Sicherheit durch die militärische Anwendung der Kernwissenschaft verantwortlich ist. Sie verwaltet das Atomwaffenlager der USA, verhindert die nukleare Proliferation, betreibt U-Boot- und Trägerschiffe mit Kernreaktoren und reagiert auf nukleare oder radiologische Notfälle.

Chinesische Hacker hinter dem Angriff

Microsoft hat den Angriff chinesischen staatlich geförderten Hackergruppen zugeschrieben, darunter solche, die unter den Namen Linen Typhoon, Violet Typhoon und Storm-2603 verfolgt werden. Diese Gruppen haben Berichten zufolge die Zero-Day-Schwachstelle ausgenutzt, um remote auf Systeme zuzugreifen, Anmeldeinformationen zu stehlen und möglicherweise auf andere verbundene Netzwerke überzugreifen.

„Es ist ein Traum für Ransomware-Betreiber“, sagte die Threat Intelligence Group von Google und fügte hinzu, dass die Schwachstelle „anhaltenden, nicht authentifizierten Zugriff ermöglicht, der zukünftige Patches umgehen kann.“

Während die NNSA als eines der Opfer bestätigt wurde, stellte die Behörde auch fest, dass es keine Hinweise darauf gibt, dass sensible oder klassifizierte Informationen während des Vorfalls abgerufen wurden.

„Am Freitag, den 18. Juli, begann die Ausnutzung einer Zero-Day-Schwachstelle in Microsoft SharePoint, das Energieministerium, einschließlich der NNSA, zu betreffen“, sagte Ben Dietderich, Sekretär des Energieministeriums (unter dem die NNSA operiert), in einer Erklärung gegenüber BleepingComputer.

„Das Ministerium war aufgrund seiner weit verbreiteten Nutzung der Microsoft M365-Cloud und sehr fähiger Cybersicherheitssysteme minimal betroffen.“ Er fügte hinzu, dass nur „eine sehr kleine Anzahl von Systemen betroffen war“ und dass „alle betroffenen Systeme wiederhergestellt werden.“

Vorfall nicht auf NNSA beschränkt

Der Vorfall beschränkte sich nicht auf die NNSA. Laut Microsoft und Cybersicherheitsforschern haben die Hacker auch andere US-Regierungsstellen ins Visier genommen — darunter das Bildungsministerium, das Florida Department of Revenue und die Rhode Island General Assembly. Ähnlich waren internationale Regierungen in Europa, dem Nahen Osten und Afrika betroffen.

Microsoft reagiert

Als Reaktion auf den Vorfall hat Microsoft ein Sicherheitsupdate für die Schwachstelle der SharePoint Subscription Edition veröffentlicht und arbeitet mit betroffenen Kunden zusammen, um die betroffenen lokalen Server zu untersuchen und zu sichern. Sie haben betroffene Kunden aufgefordert, das Update sofort anzuwenden. Darüber hinaus hat das Unternehmen erneut betont, dass Organisationen, die den cloudbasierten SharePoint Online-Dienst nutzen, in diesem Fall nicht anfällig waren.