Um ator de ameaça estrangeira infiltrou-se no Campus de Segurança Nacional de Kansas City (KCNSC)um local de fabricação da Administração Nacional de Segurança Nuclear (NNSA). O ataque ocorreu em agosto e mirou em uma instalação que produz a maior parte dos componentes não nucleares críticos para as armas nucleares dos EUA.
O que e quando ocorreu
Uma invasão explorar duas falhas de segurança do SharePoint que não estavam corrigidas: CVE-2025-53770 (uma falha de falsificação) e CVE-2025-49704 (hum erro de execução remota de código). Ambas as vulnerabilidades afetavam os servidores local. A Microsoft lançou correções para essas falhas em 19 de julho. Em 22 de julho, a NNSA confirmou que estava entre as organizações atingidas pelos ataques do dia zero. No início de agosto, profissionais de resposta federais, incluindo pessoal da NSA, estavam no local, no Missouri, para responder ao incidente.
Como a invasão foi realizada
Os atacantes exploraram as vulnerabilidades do SharePoint, que afetam principalmente sistemas de TI. Embora a NNSA tenha dito que o impacto foi mínimo devido ao uso do Microsoft M365 e aos sistemas de cibersegurança, uma invasão atingiu o campus do Missouri. A KCNSC fabrica componentes mecânicos, eletrônicos e de materiais de engenharia usados em sistemas de defesa nuclear dos EUA. Ó site produz aproximadamente 80% dos componentes não nucleares do estoque nuclear do país, tornando-o uma instalação especial.
Quem está por trás do ataque
A atribuição da autoria é incerta. A Microsoft associou uma onda mais ampla de explorações do SharePoint a três grupos ligados à China: Tufão de linho, Tufão Violeta e Tempestade-2603. No entanto, uma fonte informada sobre o incidente em Kansas City indicou que um ator de ameaça russo foi o responsável por esta intrusão específica. Pesquisadores da Resegurança não descartaram o envolvimento russo, observando que a transição de dia zero pára Dia N pode ter permitido que os agressores reproduzam o explorar.
Por que a segurança OT/TI é crítica
O que levanta a questão é se os atacantes podem ter migrado lateralmente para incidentes nos sistemas de Tecnologia Operacional (OT) da unidade, que gerenciam a produção dos componentes. Especialistas em cibersegurança OT alertamos que, apesar dos sistemas de produção da KCNSC estarem isolados das redes de TI corporativas (sem ar), essa separação não garante a segurança.
A invasão ilustra a importância da proteção de sistemas de TI para evitar que explorações atinjam ambientes de produção. O acesso a sistemas como controladores lógicos programáveis (controladores lógicos programáveis – PLC) ou sistemas SCADA (controle de supervisão e aquisição de dados), mesmo que sejam de produção de componentes não nucleares, pode afetar a confiabilidade e a trajetória dos dispositivos nucleares.
O valor dos dados não classificados
O ataque expõe uma intersecção frágil entre as práticas de segurança de TI e OT na infraestrutura de defesa crítica. Mesmo que as informações previstas não tenham sido comprometidas, dados técnicos não classificados, como requisitos de especificações de componentes ou dependências da cadeia de costuratêm valor estratégico. Tais informações poderiam ajudar adversários a entender as tolerâncias de armas dos EUA e os processos de fabricação. A para além do conceito de TI é necessidade.
