Національна адміністрація ядерної безпеки США, федеральне агентство, відповідальне за підтримку американського ядерного арсеналу, була серед понад 400 організацій у всьому світі, зламаних китайськими хакерами, які підтримуються державою та експлуатують критичні вразливості на серверах Microsoft SharePoint, повідомляють урядові чиновники та дослідники кібербезпеки.
Ця кампанія кібератак є однією з найширших експлуатацій вразливості нульового дня цього року, кількість жертв зросла з десятків до сотень протягом кількох днів.
Китайські групи за глобальною кампанією
Microsoft визначила три пов’язані з Китаєм хакерські групи — Linen Typhoon, Violet Typhoon та Storm-2603 — які активно експлуатують недоліки SharePoint з 7 липня. Вразливості, офіційно відслідковувані як CVE-2025-53770 та CVE-2025-53771, дозволяють зловмисникам обходити автентифікацію та віддалено виконувати шкідливий код на самостійно розміщених серверах SharePoint.
“З швидким прийняттям цих експлойтів Microsoft з високою впевненістю оцінює, що кіберзлочинці продовжуватимуть інтегрувати їх у свої атаки проти непатчених локальних систем SharePoint”, — заявила компанія у блозі у вівторок.
Команда розвідки загроз Google підтвердила атрибуцію Microsoft, при цьому Чарльз Кармакал, головний технологічний директор Mandiant, що належить Google, підтвердив, що “принаймні один з хакерів, відповідальних за раннє експлуатування, є кіберзлочинцем, пов’язаним з Китаєм”.
Широкий вплив на різні сектори
Нідерландська фірма кібербезпеки Eye Security, яка вперше виявила атаки у п’ятницю, повідомила, що хакери скомпрометували принаймні 400 серверів, що представляють 148 організацій у всьому світі. Фонд Shadowserver підтвердив понад 300 жертв, при цьому понад 10 700 екземплярів SharePoint залишаються відкритими.
Окрім ядерного агентства, скомпрометовані організації включають Департамент освіти США, Департамент доходів Флориди, Генеральну асамблею Род-Айленда та національні уряди по всій Європі та Близькому Сходу. Національні інститути охорони здоров’я також повідомили, що зловмисники скомпрометували один сервер і спробували зламати ще два.
Речник Департаменту енергетики підтвердив, що злам NNSA почався 18 липня, заявивши, що агентство “зазнало мінімального впливу завдяки широкому використанню хмари Microsoft M365 та дуже потужним системам кібербезпеки”. Чиновники підкреслили, що жодна чутлива або секретна інформація не була скомпрометована.
Реакція та ширший контекст
Microsoft випустила екстрені патчі для всіх скомпрометованих версій SharePoint до понеділка, але дослідники безпеки попереджають, що виправлення може бути недостатнім. Eye Security зазначила, що зловмисники можуть підтримувати доступ через бекдори, які виживають після оновлень системи та перезавантажень.
Агентство кібербезпеки та безпеки інфраструктури додало вразливість до свого каталогу експлуатованих недоліків, наказавши федеральним агентствам застосувати патчі протягом одного дня. Це остання у серії кібератак, приписуваних китайським групам, включаючи попередні злами серверів Microsoft Exchange у 2021 та 2023 роках.
Посольство Китаю у Вашингтоні заперечило звинувачення, заявивши, що Китай “протистоїть і бореться з хакерською діяльністю відповідно до закону”.
