I sistemi della National Nuclear Security Administration sono stati violati in un attacco informatico a SharePoint

Una recente campagna di attacchi informatici a livello globale, che sfrutta vulnerabilità critiche nel software SharePoint on-premise di Microsoft , ha avuto ripercussioni su diverse agenzie governative degli Stati Uniti, tra cui il National Institutes of Health (NIH) e la National Nuclear Security Administration (NNSA).

Le violazioni, iniziate intorno a venerdì 18 luglio, hanno spinto le organizzazioni interessate ad adottare misure immediate e a rispondere con fermezza da parte di Microsoft, che attribuisce gli attacchi a gruppi legati al governo cinese .

La NNSA, divisione del Dipartimento dell'Energia responsabile delle scorte di armi nucleari del Paese, ha confermato di essere stata colpita, ma ha dichiarato che solo un "numero molto limitato di sistemi" è stato interessato. In particolare, nessuna informazione classificata è stata compromessa grazie all'ampio utilizzo da parte della NNSA dei servizi cloud Microsoft M365 e dei solidi sistemi di sicurezza informatica, come riportato da Bloomberg News.

"Un numero molto limitato di sistemi è stato interessato. Tutti i sistemi interessati sono in fase di ripristino", ha dichiarato l'agenzia.

Analogamente, il Washington Post ha riportato che l'NIH, un importante finanziatore della ricerca biomedica, ha confermato il coinvolgimento di almeno un server SharePoint, con otto server disconnessi a scopo precauzionale. Sebbene un server sia stato compromesso, non vi sono indicazioni che siano state rubate informazioni sensibili.

Il Washington Post ha anche osservato che anche il California Independent System Operator, che gestisce gran parte della rete elettrica californiana, è stato preso di mira. L'organizzazione no-profit "non ha confermato né smentito" la violazione, ma ha confermato di aver adottato misure immediate per contenere la minaccia senza alcun impatto sull'affidabilità della rete.

Per vostra informazione, questi attacchi sfruttano una vulnerabilità zero-day in Microsoft SharePoint. Hackread.com ha ampiamente trattato questo problema, le indagini di Microsoft e le patch successive nei suoi recenti report.

Finora, ciò che sappiamo è che le vulnerabilità , identificate come CVE-2025-49706, CVE-2025-49704 e una variante CVE-2025-53770, consentono lo spoofing di rete e l'esecuzione di codice remoto, consentendo ad utenti non autorizzati di accedere completamente ai contenuti di SharePoint, inclusi file system e configurazioni interne. Queste specifiche falle interessano le distribuzioni di SharePoint ospitate direttamente dai clienti, anziché SharePoint Online basato sul cloud di Microsoft.

Microsoft ha identificato tre distinti gruppi di hacker, "Linen Typhoon", "Violet Typhoon" e "Storm-2603", tutti legati al governo cinese, come responsabili di questi attacchi. Questi gruppi sono noti per aver preso di mira istituzioni governative, aziendali e scolastiche in tutto il mondo. L'FBI e altre agenzie competenti stanno attualmente indagando sulla reale portata della compromissione.

Un portavoce del Ministero degli Esteri cinese, interrogato in merito alle accuse, ha dichiarato che la Cina "si oppone e combatte le attività di hacking nel rispetto della legge" e "si oppone a diffamazioni e attacchi contro la Cina con la scusa di problemi di sicurezza informatica".

Tuttavia, questo incidente intensifica l'attenzione sui protocolli di sicurezza di Microsoft, soprattutto alla luce delle critiche passate riguardo alle vulnerabilità dei suoi prodotti principali. Anche la Cybersecurity and Infrastructure Security Agency (CISA) sta subendo critiche.

Secondo quanto riferito, l'agenzia starebbe affrontando tagli al budget e un elevato turnover del personale, il che ha probabilmente ostacolato la tempestiva diffusione degli avvisi di minaccia agli enti statali e locali, rendendoli più vulnerabili a queste diffuse campagne informatiche.