US-Kernwaffenschmiede wurde über Microsoft-Software infiltriert

Ein bislang nicht eindeutig identifizierter ausländischer Angreifer hat sich Zugang zu den IT-Systemen einer wichtigen Kernwaffenfabrik der USA verschafft. Der Zugriff erfolgte über Schwachstellen in Microsofts SharePoint-Server.

Frisch bekannt gewordene Lücken

Laut eines Berichts des CSO-Magazins betraf der Hack den Kansas City National Security Campus (KCNSC) der National Nuclear Security Administration (NNSA). Nach Informationen aus Sicherheitskreisen nutzten die Täter ungepatchte Schwachstellen in Microsofts SharePoint-Plattform, um in die IT-Systeme der Anlage einzudringen.

Der betroffene Standort in Kansas City, betrieben von Honeywell Federal Manufacturing & Technologies im Auftrag des Energieministeriums, ist zentral für die Produktion nichtnuklearer Komponenten amerikanischer Atomwaffen. Rund 80 Prozent dieser Bauteile stammen aus dem Werk in Missouri. Wegen der Bedeutung gilt die Anlage als eine der sensibelsten Einrichtungen des US-Militärs.


Nach Angaben eines an der Untersuchung beteiligten Experten entdeckten Behörden den Angriff im August, wenige Wochen nachdem Microsoft am 19. Juli Sicherheitsupdates für zwei Schwachstellen veröffentlicht hatte. Dabei handelte es sich um eine Spoofing-Lücke (CVE-2025-53770) sowie eine Remote-Code-Execution-Schwachstelle (CVE-2025-49704), die es Angreifern ermöglichten, Schadcode auf lokalen Servern auszuführen. Bereits am 22. Juli bestätigte das Energieministerium, von den Angriffen betroffen gewesen zu sein - nach eigener Aussage jedoch nur in "minimalem Umfang".

Spekulation um Täter

Unklar ist bislang, wer hinter dem Angriff steckt. Microsoft führt die Welle von SharePoint-Exploits auf drei China nahestehende Gruppen mit den Codenamen Linen Typhoon, Violet Typhoon und Storm-2603 zurück. Sie sollen ursprünglich den Einsatz von Warlock-Ransomware vorbereitet haben. Eine mit dem Vorfall vertraute Quelle hält dagegen russische Cyberkriminelle für verantwortlich. Auch die Sicherheitsfirma Resecurity berichtet von Hinweisen auf chinesische Urheber, schließt aber eine russische Beteiligung nicht aus. Möglich sei, dass russische Akteure die Angriffsmethode nach Veröffentlichung technischer Details im Juni eigenständig reproduzierten.

Fachleute warnen unterdessen vor möglichen Seitwärtsbewegungen der Angreifer von der IT in die operativen Netzwerke (OT), die für Fertigungs- und Steuerungsprozesse zuständig sind. Zwar gelten die Produktionssysteme in Kansas City als weitgehend isoliert, absolute Sicherheit gebe es aber nicht. "Wir müssen genau analysieren, wie Staaten IT-Schwachstellen ausnutzen könnten, um Zugang zu industriellen Steuerungssystemen zu erlangen", sagte Jen Sovada von der Cybersicherheitsfirma Claroty.


Siehe auch: