Търсене
Close this search box.

CISA издаде нова спешна директива, с която нарежда на федералните агенции на САЩ да се справят с рисковете, произтичащи от пробива на множество корпоративни имейл акаунти на Microsoft от руската хакерска група APT29.
Извънредна директива 24-02 е издадена на 2 април до федералните агенции от гражданската изпълнителна власт (FCEB). В нея се изисква от тях да разследват потенциално засегнатите имейли, да нулират всички компрометирани идентификационни данни (ако има такива) и да предприемат мерки за защита на привилегированите акаунти в Microsoft Azure.
CISA твърди, че оперативните работници на руската Служба за външно разузнаване (СВР) сега използват информация, открадната от корпоративните системи за електронна поща на Microsoft, включително данните за удостоверяване, споделени между Microsoft и нейните клиенти по електронна поща, за да получат достъп до определени клиентски системи.
„Тази извънредна директива изисква незабавни действия от страна на агенциите за намаляване на риска за нашите федерални системи. В продължение на няколко години правителството на САЩ документира злонамерена кибердейност като стандартна част от руския наръчник; последното компрометиране на Microsoft се добавя към дългия им списък“, заяви в четвъртък директорът на CISA Джен Истърли.
„Ще продължим да полагаме усилия в сътрудничество с нашите партньори от федералното правителство и частния сектор, за да защитим и предпазим нашите системи от подобна заплашителна дейност.“

Откраднати имейли на федерални агенции

Microsoft и Агенцията за киберсигурност на САЩ вече са уведомили всички федерални агенции, чиято имейл кореспонденция с Microsoftе била засечена като ексфилтрирана от руските хакери.
Новата спешна директива на CISA е първият случай, в който правителството на САЩ потвърждава, че имейлите на федералните агенции са били ексфилтрирани при пробивите в Microsoft Exchange през януари.
Сега CISA е наредила на засегнатите агенции да идентифицират пълното съдържание на кореспонденцията на агенциите с компрометирани акаунти на Microsoft и да извършат анализ на въздействието върху киберсигурността до 30 април 2024 г.
От тези, които открият признаци на компрометиране на удостоверяването, се изисква да:

  • да предприемат незабавни действия за отстраняване на нередности по отношение на токени, пароли, API ключове или други удостоверения за автентификация, за които е известно или се предполага, че са компрометирани.
  • За всички известни или предполагаеми компрометирания на удостоверяването, установени чрез действие 1, до 30 април 2024 г:
  • да нулира идентификационните данни в свързаните приложения и да деактивира свързаните приложения, които вече не се използват от агенцията.
  • Прегледат дневниците за вписване, издаване на токени и други дейности по акаунта за потребителите и услугите, чиито удостоверения за самоличност са били подозирани или забелязани като компрометирани, за потенциална злонамерена дейност.

 

 

Въпреки че изискванията на ED 24-02 се отнасят изключително за агенциите на FCEB, ексфилтрирането на корпоративни акаунти на Microsoft може да засегне и други организации, които се призовават да потърсят насоки от съответните си екипи за работа с акаунти на Microsoft.
От съществено значение е също така всички организации, независимо от въздействието, да приемат строги мерки за сигурност, включително използване на силни пароли, активиране на многофакторно удостоверяване (MFA), когато е възможно, и въздържане от споделяне на незащитена чувствителна информация по незащитени канали.

Хакерските атаки на APT29 срещу Microsoft

През януари Microsoft разкри, че хакерите от APT29 (проследени и като Midnight Blizzard и NOBELIUM) са проникнали в корпоративните ѝ имейл сървъри след атака със спрей с пароли, която е довела до компрометиране на наследен непроизводствен акаунт на тестови наемател.
По-късно компанията разкри, че тестовият акаунт не е имал активиран MFA, което е позволило на хакерите да получат достъп до системите на Microsoft.
Акаунтът е имал и достъп до приложение OAuth с повишен достъп до корпоративната среда на Microsoft, което е позволило на нападателите да получат достъп и да откраднат данни от корпоративните пощенски кутии. Тези имейл акаунти са принадлежали на членовете на ръководния екип на Microsoft и на неразкрит брой служители в отделите за киберсигурност и юридически отдели на компанията.
APT29 придоби известност след атаката по веригата за доставки на SolarWinds през 2020 г., която доведе до нарушаване на сигурността на някои федерални агенции на САЩ и множество компании, включително Microsoft.
По-късно Microsoft потвърди, че атаката е позволила на руската хакерска група да открадне изходния код за някои компоненти на Azure, Intune и Exchange.
През юни 2021 г. хакерите от APT29 отново пробиха корпоративен акаунт в Microsoft, което им осигури достъп до инструменти за поддръжка на клиенти.

 

Източник: e-security.bg

Подобни публикации

16 септември 2024

Може ли дълбоките технологии да бъдат следващия...

В началото на 2000-те години Естония бързо се модернизира, отърсвай...
16 септември 2024

Отборите от NFL блокират кибератаките в дигитал...

През изминалия уикенд Националната футболна лига стартира своя сезо...
16 септември 2024

Google прави големи разходи за технология за ул...

Технологичният гигант сключи нова сделка за  улавяне на 100 000 тон...
16 септември 2024

Всичко, което трябва да знаете за поредния проб...

Fortinet твърди, че няма доказателства за злонамерена дейност, насо...
16 септември 2024

Canva се похвали с новите си функции, след коет...

Цените на абонамента за Canva ще се повишат за корпоративните потре...
16 септември 2024

Уязвимостта на Windows злоупотребява с брайлови...

Неотдавна поправената уязвимост „Windows MSHTML spoofing vulnerabil...
Бъдете социални
Още по темата
15/09/2024

Microsoft и Quantinuum комб...

Технологичният гигант Microsoft и водещият разработчик...
13/09/2024

След CrowdStrike: Microsoft...

Microsoft планира да преработи начина, по...
12/09/2024

PIXHELL позволява прескачан...

Изследовател е представил подробности за нов...
Последно добавени
16/09/2024

Може ли дълбоките технологи...

В началото на 2000-те години Естония...
16/09/2024

Отборите от NFL блокират ки...

През изминалия уикенд Националната футболна лига...
16/09/2024

Google прави големи разходи...

Технологичният гигант сключи нова сделка за ...
Ключови думи

Абонамента е почти завършен.

На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.

Моля, проверете електронната си поща за да потвърдите.

Благодарим за доверието!