Hackers exploram falhas em SharePoint para violar sistemas de segurança nuclear dos EUA

Um ator de ameaça estrangeiro infiltrou-se no Kansas City National Security Campus (KCNSC), um local de fabricação da National Nuclear Security Administration (NNSA). O ataque ocorreu em agosto e mirou uma instalação que produz a maior parte dos componentes não nucleares críticos para as armas nucleares dos EUA.

O que e quando ocorreu

A invasão explorou duas falhas de segurança do Microsoft SharePoint que não estavam corrigidas: CVE-2025-53770 (uma falha de spoofing) e CVE-2025-49704 (um bug de execução remota de código). Ambas as vulnerabilidades afetavam servidores on-premises. A Microsoft lançou correções para estas falhas em 19 de julho. Em 22 de julho, a NNSA confirmou que estava entre as organizações atingidas pelos ataques de dia zero. No início de agosto, profissionais de resposta federal, incluindo pessoal da NSA, estavam no local, em Missouri, para responder ao incidente.

Como a invasão foi executada

Os atacantes exploraram as vulnerabilidades do SharePoint, que afetam principalmente sistemas de TI. Embora a NNSA tenha dito que o impacto foi mínimo devido ao uso do Microsoft M365 e aos sistemas de cibersegurança, a invasão atingiu o campus do Missouri. O KCNSC fabrica componentes mecânicos, eletrônicos e de materiais de engenharia usados nos sistemas de defesa nuclear dos EUA. O site produz aproximadamente 80% dos componentes não nucleares do estoque nuclear do país, tornando-o uma instalação sensível.

Quem está por trás do ataque

A atribuição da autoria é incerta. A Microsoft associou a onda mais ampla de explorações do SharePoint a três grupos ligados à China: Linen Typhoon, Violet Typhoon e Storm-2603. Contudo, uma fonte informada sobre o incidente de Kansas City indicou que um ator de ameaça russo foi o responsável por esta intrusão específica. Pesquisadores da Resecurity não descartam o envolvimento russo, observando que a transição de zero-day para N-day pode ter permitido que atores criminosos reproduzissem o exploit.

Por que a segurança OT/IT é crítica

O incidente levanta a questão se os atacantes podem ter migrado lateralmente para os sistemas de Tecnologia Operacional (OT) da unidade, que gerenciam a produção dos componentes. Especialistas em cibersegurança OT alertam que, apesar de os sistemas de produção do KCNSC estarem isolados das redes de TI corporativas (air-gapped), essa separação não garante a segurança.

A invasão ilustra a importância de proteger sistemas de TI para evitar que exploits atinjam ambientes de manufatura. O acesso a sistemas como controladores lógicos programáveis (programmable logic controllers – PLC) ou sistemas SCADA (supervisory control and data acquisition), mesmo que sejam de produção de componentes não nucleares, pode afetar a confiabilidade e a trajetória dos dispositivos nucleares.

O valor dos dados não classificados

O ataque expõe a intersecção frágil entre as práticas de segurança de TI e OT na infraestrutura de defesa crítica. Mesmo que as informações confidenciais não tenham sido comprometidas, dados técnicos não classificados, como requisitos de precisão de componentes ou dependências da cadeia de suprimentos, têm valor estratégico. Tais informações poderiam ajudar adversários a entender as tolerâncias de armas dos EUA e os processos de fabricação. A para além do conceito de TI é necessária.