CISA издаде нова спешна директива, с която нарежда на федералните агенции на САЩ да се справят с рисковете, произтичащи от пробива на множество корпоративни имейл акаунти на Microsoft от руската хакерска група APT29.
Извънредна директива 24-02 е издадена на 2 април до федералните агенции от гражданската изпълнителна власт (FCEB). В нея се изисква от тях да разследват потенциално засегнатите имейли, да нулират всички компрометирани идентификационни данни (ако има такива) и да предприемат мерки за защита на привилегированите акаунти в Microsoft Azure.
CISA твърди, че оперативните работници на руската Служба за външно разузнаване (СВР) сега използват информация, открадната от корпоративните системи за електронна поща на Microsoft, включително данните за удостоверяване, споделени между Microsoft и нейните клиенти по електронна поща, за да получат достъп до определени клиентски системи.
„Тази извънредна директива изисква незабавни действия от страна на агенциите за намаляване на риска за нашите федерални системи. В продължение на няколко години правителството на САЩ документира злонамерена кибердейност като стандартна част от руския наръчник; последното компрометиране на Microsoft се добавя към дългия им списък“, заяви в четвъртък директорът на CISA Джен Истърли.
„Ще продължим да полагаме усилия в сътрудничество с нашите партньори от федералното правителство и частния сектор, за да защитим и предпазим нашите системи от подобна заплашителна дейност.“
Microsoft и Агенцията за киберсигурност на САЩ вече са уведомили всички федерални агенции, чиято имейл кореспонденция с Microsoftе била засечена като ексфилтрирана от руските хакери.
Новата спешна директива на CISA е първият случай, в който правителството на САЩ потвърждава, че имейлите на федералните агенции са били ексфилтрирани при пробивите в Microsoft Exchange през януари.
Сега CISA е наредила на засегнатите агенции да идентифицират пълното съдържание на кореспонденцията на агенциите с компрометирани акаунти на Microsoft и да извършат анализ на въздействието върху киберсигурността до 30 април 2024 г.
От тези, които открият признаци на компрометиране на удостоверяването, се изисква да:
Въпреки че изискванията на ED 24-02 се отнасят изключително за агенциите на FCEB, ексфилтрирането на корпоративни акаунти на Microsoft може да засегне и други организации, които се призовават да потърсят насоки от съответните си екипи за работа с акаунти на Microsoft.
От съществено значение е също така всички организации, независимо от въздействието, да приемат строги мерки за сигурност, включително използване на силни пароли, активиране на многофакторно удостоверяване (MFA), когато е възможно, и въздържане от споделяне на незащитена чувствителна информация по незащитени канали.
През януари Microsoft разкри, че хакерите от APT29 (проследени и като Midnight Blizzard и NOBELIUM) са проникнали в корпоративните ѝ имейл сървъри след атака със спрей с пароли, която е довела до компрометиране на наследен непроизводствен акаунт на тестови наемател.
По-късно компанията разкри, че тестовият акаунт не е имал активиран MFA, което е позволило на хакерите да получат достъп до системите на Microsoft.
Акаунтът е имал и достъп до приложение OAuth с повишен достъп до корпоративната среда на Microsoft, което е позволило на нападателите да получат достъп и да откраднат данни от корпоративните пощенски кутии. Тези имейл акаунти са принадлежали на членовете на ръководния екип на Microsoft и на неразкрит брой служители в отделите за киберсигурност и юридически отдели на компанията.
APT29 придоби известност след атаката по веригата за доставки на SolarWinds през 2020 г., която доведе до нарушаване на сигурността на някои федерални агенции на САЩ и множество компании, включително Microsoft.
По-късно Microsoft потвърди, че атаката е позволила на руската хакерска група да открадне изходния код за някои компоненти на Azure, Intune и Exchange.
През юни 2021 г. хакерите от APT29 отново пробиха корпоративен акаунт в Microsoft, което им осигури достъп до инструменти за поддръжка на клиенти.
АБОНИРАЙТЕ СЕ ЗА НАШИЯ Е-БЮЛЕТИН И ПОЛУЧАВАЙТЕ НОВИНИ И СЪВЕТИ НА ТЕМА КИБЕРСИГУРНОСТ.
© 2022 Фондация “Киберсигурност за Всеки” с ЕИК 206932045. Всички права запазени. Политики за поверителност.
ж.к. Гео Милев бл. 117, вх.А
София 1113, България
support[@]e-security.bg
Фондация “Киберсигурност за Всеки” с ЕИК 206932045 е ЮЛНЦ в обществена полза, регистрирано в ЕС, работещо в съответствие с мисията и целите си.
Моля, имайте предвид, че всички споменати продукти и/или имена на компании са търговски марки ™ или ® на съответните им притежатели. Уебсайтът/фондацията няма никаква свързаност и/или одобрение за/от тях – тези търговски марки се използват само за образователни цели като примери. Настоящият уебсайт е онлайн информационна платформа, управлявана от доброволна фондация в обществена полза. Благодарим ви, че сте тук и за всякакви допълнителни въпроси, не се колебайте да се свържете с нас.
Мисията на Фондация “Киберсигурност за Всеки” е да допринесе за подобряване на киберсигурността, информационна сигурност и защита на системите и да повиши културата на обществото и организациите по тези и свързани с тях теми. Ние насърчаване безопасността и поверителността на потребителите, като повишаваме осведомеността, информираме за най-добрите и нови практики и помагаме на хора и организации да преодолеят съвременните предизвикателства за сигурността на мрежата и опазването на техните дигиталните активи.
На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.
Моля, проверете електронната си поща за да потвърдите.