外国黑客通过SharePoint漏洞入侵美国核武器工厂

事件概述

根据参与8月份事件响应的消息来源，外国威胁行为体通过利用未修补的Microsoft SharePoint漏洞，侵入了堪萨斯城国家安全园区（KCNSC）。该设施是美国国家核安全管理局（NNSA）内的关键制造基地，负责生产美国核武器绝大部分关键非核部件。

攻击者利用了最近披露的两个Microsoft SharePoint漏洞：

这两个漏洞均影响本地服务器。微软于7月19日发布了修复补丁。

7月22日，NNSA确认其是受SharePoint漏洞攻击影响的组织之一。能源部（DOE）发言人表示：“7月18日星期五，Microsoft SharePoint零日漏洞的利用开始影响能源部。”

位于密苏里州的KCNSC负责制造美国核防御系统中使用的非核机械、电子和工程材料部件。该设施还提供专业技术服务，包括冶金分析、分析化学、环境测试和模拟建模。

全国核武库中约80%的非核部件源自KCNSC。虽然大多数设计和程序细节仍属机密，但该工厂的生产角色使其成为联邦武器复合体中最敏感的设施之一。

微软将更广泛的SharePoint漏洞利用活动归因于三个与中国有关的组织：Linen Typhoon、Violet Typhoon和其追踪为Storm-2603的第三个行为体。该公司表示，攻击者正准备在受影响系统上部署Warlock勒索软件。

然而，熟悉堪萨斯城事件的消息来源告诉CSO，是俄罗斯威胁行为体而非中国行为体应对此次入侵负责。网络安全公司Resecurity告诉CSO，其自身数据主要指向中国国家支持的组织，但不排除俄罗斯参与的可能性。

此次入侵针对堪萨斯城园区的IT端，但引发了攻击者是否可能横向移动到设施的操作技术（OT）系统的问题，这些系统直接支持武器部件生产的制造和过程控制环境。

OT网络安全专家告诉CSO，KCNSC的生产系统可能与公司IT网络空气隔离或以其他方式隔离，显著降低了直接交叉的风险。然而，他们警告不要假设这种隔离能保证安全。

堪萨斯城事件凸显了联邦企业中的一个系统性问题：IT和OT安全实践之间的脱节。虽然联邦政府已经推进了传统IT网络的零信任路线图，但操作环境的类似框架却滞后了。

Claroty公共部门运营总经理Jen Sovada表示：“有一张IT扇区图映射了零信任、分段、身份验证和身份管理的所有控制措施。但国防部正在开发一张OT扇区图，将为操作技术中的零信任定义可比控制措施。目标是使两者结合，使零信任在所有网络类型中变得全面。”

即使没有证据表明机密信息被泄露，非机密技术数据仍可能具有重大影响。Sovada告诉CSO：“可能只是像需求文档这样简单的东西，这些文档可能不属于机密，但揭示了部件所需的精度水平。在武器制造中，一毫米的差异就可能改变设备的轨迹或其武装机制的可靠性。”

此类信息可能帮助对手了解美国武器的容差、供应链依赖性或制造过程，所有这些即使不是正式机密也很敏感。