🔐 2025. július 23-án megerősítették: kínai állami támogatású kiberkémcsoportok sikeresen kihasználták a Microsoft SharePoint platformban található kritikus 0-day sebezhetőségek láncát, és betörtek az Amerikai Nemzeti Nukleáris Biztonsági Hivatal (NNSA) rendszerébe – ez az a szervezet, amely az USA nukleáris fegyverarzenáljáért és nukleáris vészhelyzeti válaszadásért felel.
⚠️ Mi történt pontosan?
- A támadók on-premise SharePoint szervereket vettek célba – a Microsoft 365 alapú felhős SharePoint Onlinenem érintett.
- A támadók július 7-én kezdték kihasználni a sérülékenységet, még azelőtt, hogy a Microsoft biztonsági frissítést kiadott volna.
- Az amerikai Energiaügyi Minisztérium (DOE) elismerte az incidenst, de hangsúlyozta, hogy:„Minimális zavar történt, az érintett rendszerek helyreállítása folyamatban van.”
📍 Kik a feltételezett támadók?
A Microsoft az alábbi, Kínához köthető állami hackercsoportokat azonosította:
| Csoport neve | Aktív időszak | Célpontok |
|---|---|---|
| Linen Typhoon | 2012 óta | Kormányzati, hadiipari, jogvédő célpontok |
| Violet Typhoon | 2015 óta | NGO-k, egyetemek, pénzügyi és egészségügyi szektor |
| Storm-2603 | 2023 óta | Feltételezhetően Kínában működik |
Microsoft értékelése szerint:
„Magas biztonsággal állítható, hogy ezek a csoportok továbbra is célba veszik a nem frissített SharePoint rendszereket.”
🧨 A sebezhetőség technikai részletei
- CVE-2025-53770 – Remote Code Execution hiba, a ToolShell exploit-lánc része.
- Lehetővé teszi:
- Hitelesítési tokenek hamisítását (spoofing)
- Távoli kódfuttatást
- Titkosítási kulcsok lopását
- A CISA 24 órás javítási kötelezettséget rendelt el minden amerikai szövetségi intézmény számára.
🌍 Globális hatás és áldozatok
A holland Eye Security szerint:
- Több mint 400 szervezet érintett világszerte
- 9,000+ sebezhető SharePoint IP-cím került azonosításra
- Legtöbb áldozat az USA-ban található
A cég globális vizsgálatot indított, miután egyik ügyfelüknél szokatlan tevékenységet észleltek SharePoint szerveren.
🛡️ Javasolt védekezés (Microsoft ajánlás)
- Telepítsd azonnal a biztonsági frissítést:
- Engedélyezd az AMSI integrációt a SharePoint szerveren
- Használj Microsoft Defender Antivirus-t minden SharePoint hoston
- Ha AMSI nem használható:
- Fizikai leválasztás (internet disconnect) javasolt
🔥 Előzmények – NNSA korábbi támadások
| Év | Támadó | Módszer / platform |
|---|---|---|
| 2019 | APT29 (SVR – orosz hírszerzés) | SolarWinds Orion trojanizált frissítés |
| 2025 | Linen Typhoon (kínai állami) | SharePoint 0-day exploit |
🏛️ Geopolitikai következmények
- Amazon bezárta sanghaji AI laborját
- McKinsey megtiltotta AI-kapcsolatú tevékenységet kínai részlegének
- IBM és Microsoft is visszavágta R&D működését Kínában
