Salah satu lembaga paling sensitif di Amerika Serikat, National Nuclear Security Administration (NNSA), dilaporkan menjadi korban serangan siber canggih yang mengeksploitasi kerentanan pada Microsoft SharePoint Server. Serangan ini terjadi sebagai bagian dari kampanye yang lebih luas dan diduga terkait dengan aktor ancaman asal Tiongkok, menurut informasi yang dikonfirmasi oleh sumber pemerintah dan laporan keamanan independen.
Eksploitasi Zero-Day di SharePoint
Serangan ini memanfaatkan celah keamanan kritis di SharePoint, platform kolaborasi bisnis dari Microsoft yang banyak digunakan oleh lembaga pemerintahan dan perusahaan besar. Kerentanan tersebut — yang belum disebutkan identitas CVE-nya secara publik — memungkinkan pelaku menjalankan kode arbitrer secara remote (RCE) dan mendapatkan akses administratif terhadap sistem yang belum ditambal.
Dalam kasus NNSA, akses ini memungkinkan penyerang untuk:
- Mengakses dokumen internal terkait sistem persenjataan strategis
- Mengumpulkan kredensial pengguna melalui eksploitasi token dan autentikasi
- Bergerak lateral ke server lain dalam lingkungan jaringan tertutup
Target Lembaga Strategis AS
Selain NNSA, serangan juga menargetkan beberapa entitas penting lainnya:
- Departemen Energi AS
- Laboratorium Nasional Sandia dan Los Alamos
- Kementerian Luar Negeri dan lembaga kebijakan luar negeri lainnya
Serangan ini mencerminkan strategi infiltrasi jangka panjang yang berfokus pada intelijen strategis dan infrastruktur nasional, bukan sekadar pencurian data finansial atau pemerasan.
Dugaan Keterlibatan Aktor Negara
Beberapa firma keamanan siber dan analis pemerintah menduga serangan ini dilakukan oleh grup APT yang disponsori negara, khususnya APT31 atau kelompok terkait Tiongkok, berdasarkan pola serangan, infrastruktur command and control (C2), serta taktik eksploitasi yang digunakan.
Pemerintah AS belum secara resmi menunjuk pelaku, namun penyelidikan intensif sedang berlangsung dengan dukungan dari FBI, CISA, dan NSA.
Respons dan Mitigasi
Pemerintah federal AS segera melakukan:
- Pemutusan sementara akses eksternal ke server SharePoint yang teridentifikasi rentan
- Peningkatan pengawasan jaringan dan log audit pada lembaga-lembaga terdampak
- Instruksi mitigasi cepat kepada semua instansi yang menggunakan SharePoint on-premises
Microsoft sendiri telah merilis patch keamanan darurat dan merekomendasikan pengguna untuk segera memperbarui sistem serta melakukan audit menyeluruh terhadap jejak akses dan izin pengguna.
Insiden ini menjadi peringatan serius akan pentingnya keamanan sistem kolaborasi internal, terutama di lembaga strategis yang menyimpan informasi vital negara.
Sumber: US nuclear weapons agency hacked in Microsoft SharePoint attacks