CISA a emis o noua directiva de urgenta prin care ordona agentiilor federale din SUA sa abordeze riscurile rezultate din incalcarea mai multor conturi de email corporate Microsoft de catre grupul de hacking rus APT29.
Directiva de Urgenta 24-02 a fost emisa catre Agentiile Executivului Civil Federal (FCEB) pe 2 aprilie. Aceasta le obliga sa investigheze emailurile afectate potential, sa reseteze orice credentiale compromise (daca exista) si sa ia masuri pentru securizarea conturilor privilegiate Microsoft Azure.
CISA spune ca operatorii Serviciului de Informatii Externe rusesc (SVR) folosesc acum informatiile furate din sistemele de email corporate Microsoft, inclusiv detaliile de autentificare partajate intre Microsoft si clientii sai prin email, pentru a obtine acces la anumite sisteme ale clientilor.
„Aceasta Directiva de Urgenta impune actiuni imediate agentiilor pentru a reduce riscul pentru sistemele noastre federale. De mai multi ani, guvernul SUA a documentat activitati cibernetice maligne ca parte standard a strategiei ruse; aceasta ultima compromitere a Microsoft se adauga la lista lor lunga,” a declarat directorul CISA, Jen Easterly, joi.
„Vom continua eforturile in colaborare cu partenerii nostri din guvernul federal si sectorul privat pentru a proteja si apara sistemele noastre impotriva unor astfel de amenintari.”
Microsoft si agentia de securitate cibernetica a SUA au notificat deja toate agentiile federale a caror corespondenta prin email cu Microsoft a fost detectata ca fiind exfiltrata de hackerii rusi.
Noua directiva de urgenta a CISA este prima data cand guvernul SUA a confirmat ca emailurile agentiilor federale au fost exfiltrate in incalcarile Microsoft Exchange din ianuarie.
CISA a ordonat acum agentiilor afectate sa identifice continutul complet al corespondentei agentiei cu conturile compromise Microsoft si sa efectueze o analiza a impactului cibernetic pana pe 30 aprilie 2024.
Cei care detecteaza semne de compromitere a autentificarii sunt obligati sa:
Chiar daca cerintele ED 24-02 se aplica exclusiv agentiilor FCEB, exfiltrarea conturilor corporate Microsoft poate afecta alte organizatii, care sunt incurajate sa caute indrumare de la echipele lor respective de conturi Microsoft.
Este, de asemenea, esential ca toate organizatiile, indiferent de impact, sa adopte masuri de securitate stricte, inclusiv folosirea unor parole puternice, activarea autentificarii multifactor (MFA) ori de cate ori este posibil, si sa se abtina sa impartaseasca informatii sensibile neprotectate prin canale nesecurizate.
In ianuarie, Microsoft a dezvaluit ca hackerii APT29 (urmariti si ca Midnight Blizzard si NOBELIUM) au incalcat serverele sale de email corporate in urma unui atac de tip password spray care a dus la compromiterea unui cont de testare non-productie mostenit.
Compania a dezvaluit ulterior ca contul de testare nu avea MFA activata, permitand hackerilor sa acceseze sistemele Microsoft.
Contul avea de asemenea acces la o aplicatie OAuth cu acces ridicat la mediul corporate Microsoft, ceea ce le-a permis atacatorilor sa acceseze si sa fure date din cutiile postale corporate. Aceste conturi de email apartineau membrilor echipei de conducere a Microsoft si unui numar necunoscut de angajati din departamentele de securitate cibernetica si juridica ale companiei.
APT29 a devenit notoriu dupa atacul din 2020 asupra lantului de aprovizionare SolarWinds, care a dus la incalcarea unor agentii federale americane si a numeroase companii, inclusiv Microsoft.
Microsoft a confirmat ulterior ca atacul a permis grupului de hacking rus sa fure codul sursa pentru unele componente Azure, Intune si Exchange.
In iunie 2021, hackerii APT29 au incalcat din nou un cont corporate Microsoft, oferindu-le acces la instrumente de suport pentru clienti.
Microsoft inca nu este sigur cum hackerii au furat cheia MSA in atacul Exchange din 2023
Microsoft extinde capacitatile de inregistrare gratuita dupa incalcarea din mai
CISA spune ca hack-ul Sisense afecteaza organizatiile de infrastructura critica
Acuity confirma ca hackerii au furat date guvernamentale ne-sensibile din repositoriile GitHub
Departamentul de Stat al SUA investigheaza presupusa furtul de date guvernamentale
Leave a Reply