Atak na NNSA. Potwierdzenie włamania w agencji odpowiedzialnej za broń atomową
Amerykański Departament Energii potwierdził, że jego systemy – w tym należące do Narodowej Administracji Bezpieczeństwa Jądrowego (NNSA) – padły ofiarą ataku cybernetycznego wykorzystującego niedawno ujawnione luki typu zero-day w Microsoft SharePoint. Incydent miał miejsce w piątek, 18 lipca 2025 r., a źródłem kompromitacji był łańcuch podatności znany jako „ToolShell”. Choć skala naruszenia wydaje się ograniczona, fakt, że celem była NNSA – agencja odpowiedzialna za krajowy arsenał nuklearny, reagowanie na incydenty radiologiczne oraz zabezpieczenia jądrowe w kraju i za granicą – natychmiast przyciągnął uwagę opinii publicznej i środowisk bezpieczeństwa. Rzecznik Departamentu Energii, Ben Dietderich, poinformował, że jedynie niewielka liczba systemów została dotknięta i że obecnie wszystkie objęte atakiem środowiska są przywracane. Podkreślono również, że większość danych przechowywana jest w chmurze Microsoft 365, co miało ograniczyć rozprzestrzenianie się incydentu. Nie ma też dowodów na to, by w wyniku ataku doszło do wycieku informacji sklasyfikowanych jako poufne lub tajne. Niemniej śledztwo nadal trwa.
Chińskie grupy hakerskie podejrzewane o udział w kampanii
Zaledwie dzień przed potwierdzeniem incydentu, Microsoft i Google wspólnie wskazali na związek pomiędzy omawianą falą ataków a działaniami trzech chińskich grup cyberprzestępczych sponsorowanych przez państwo: Linen Typhoon, Violet Typhoon oraz Storm-2603. Według Microsoftu, wszystkie trzy podmioty wykorzystywały luki w SharePoint do przeprowadzenia ukierunkowanych ataków na serwery należące do organizacji rządowych, telekomunikacyjnych i technologicznych na Zachodzie. Z kolei holenderska firma Eye Security, która jako pierwsza zidentyfikowała wykorzystywanie exploitów typu zero-day w kampanii, poinformowała, że atak objął co najmniej 54 organizacje. Nowe ustalenia podnoszą tę liczbę do 148 podmiotów i ponad 400 zainfekowanych serwerów na całym świecie – głównie w Ameryce Północnej i Europie Zachodniej. Check Point, inna firma zajmująca się cyberbezpieczeństwem, informuje z kolei, że ślady aktywności związanej z lukami sięgają już 7 lipca 2025 r., co oznacza, że atak mógł trwać niezauważenie przez wiele dni – a być może nawet tygodni – zanim został oficjalnie wykryty.
W związku z zagrożeniem, amerykańska agencja CISA dodała jedną z głównych luk – CVE-2025-53770 – do katalogu znanych podatności wykorzystywanych w atakach. Agencje federalne mają 24 godziny na wdrożenie niezbędnych środków zaradczych po udostępnieniu poprawek.
Echo wcześniejszych incydentów i niepokojąca ciągłość działań
Nie jest to pierwszy raz, kiedy NNSA znajduje się na celowniku zagranicznych grup hakerskich. W 2019 roku rosyjski APT29 (znany również jako Cozy Bear) – grupa działająca w strukturach Służby Wywiadu Zagranicznego Federacji Rosyjskiej (SVR) – włamała się do sieci agencji, wykorzystując zainfekowaną aktualizację platformy SolarWinds Orion. Atak ten ujawnił ogromne braki w zabezpieczeniach łańcucha dostaw i wywołał szeroką debatę o cyberbezpieczeństwie w administracji USA.
Choć nie ujawniono, które konkretnie dane zostały naruszone w infrastrukturze NNSA, a sam Departament Energii minimalizuje potencjalny wpływ incydentu, eksperci są zgodni, że nawet krótkotrwały dostęp do takiej instytucji może być niezwykle groźny – zwłaszcza jeśli prowadzi do zdobycia schematów sieciowych, danych kontaktowych lub dostępów do zasobów zapasowych.
