Търсене
Close this search box.

CISA нарежда на агенциите, засегнати от хакерската атака срещу Microsoft, да намалят рисковете

CISA издаде нова спешна директива, с която нарежда на федералните агенции на САЩ да се справят с рисковете, произтичащи от пробива на множество корпоративни имейл акаунти на Microsoft от руската хакерска група APT29.
Извънредна директива 24-02 е издадена на 2 април до федералните агенции от гражданската изпълнителна власт (FCEB). В нея се изисква от тях да разследват потенциално засегнатите имейли, да нулират всички компрометирани идентификационни данни (ако има такива) и да предприемат мерки за защита на привилегированите акаунти в Microsoft Azure.
CISA твърди, че оперативните работници на руската Служба за външно разузнаване (СВР) сега използват информация, открадната от корпоративните системи за електронна поща на Microsoft, включително данните за удостоверяване, споделени между Microsoft и нейните клиенти по електронна поща, за да получат достъп до определени клиентски системи.
„Тази извънредна директива изисква незабавни действия от страна на агенциите за намаляване на риска за нашите федерални системи. В продължение на няколко години правителството на САЩ документира злонамерена кибердейност като стандартна част от руския наръчник; последното компрометиране на Microsoft се добавя към дългия им списък“, заяви в четвъртък директорът на CISA Джен Истърли.
„Ще продължим да полагаме усилия в сътрудничество с нашите партньори от федералното правителство и частния сектор, за да защитим и предпазим нашите системи от подобна заплашителна дейност.“

Откраднати имейли на федерални агенции

Microsoft и Агенцията за киберсигурност на САЩ вече са уведомили всички федерални агенции, чиято имейл кореспонденция с Microsoftе била засечена като ексфилтрирана от руските хакери.
Новата спешна директива на CISA е първият случай, в който правителството на САЩ потвърждава, че имейлите на федералните агенции са били ексфилтрирани при пробивите в Microsoft Exchange през януари.
Сега CISA е наредила на засегнатите агенции да идентифицират пълното съдържание на кореспонденцията на агенциите с компрометирани акаунти на Microsoft и да извършат анализ на въздействието върху киберсигурността до 30 април 2024 г.
От тези, които открият признаци на компрометиране на удостоверяването, се изисква да:

  • да предприемат незабавни действия за отстраняване на нередности по отношение на токени, пароли, API ключове или други удостоверения за автентификация, за които е известно или се предполага, че са компрометирани.
  • За всички известни или предполагаеми компрометирания на удостоверяването, установени чрез действие 1, до 30 април 2024 г:
  • да нулира идентификационните данни в свързаните приложения и да деактивира свързаните приложения, които вече не се използват от агенцията.
  • Прегледат дневниците за вписване, издаване на токени и други дейности по акаунта за потребителите и услугите, чиито удостоверения за самоличност са били подозирани или забелязани като компрометирани, за потенциална злонамерена дейност.

 

 

Въпреки че изискванията на ED 24-02 се отнасят изключително за агенциите на FCEB, ексфилтрирането на корпоративни акаунти на Microsoft може да засегне и други организации, които се призовават да потърсят насоки от съответните си екипи за работа с акаунти на Microsoft.
От съществено значение е също така всички организации, независимо от въздействието, да приемат строги мерки за сигурност, включително използване на силни пароли, активиране на многофакторно удостоверяване (MFA), когато е възможно, и въздържане от споделяне на незащитена чувствителна информация по незащитени канали.

Хакерските атаки на APT29 срещу Microsoft

През януари Microsoft разкри, че хакерите от APT29 (проследени и като Midnight Blizzard и NOBELIUM) са проникнали в корпоративните ѝ имейл сървъри след атака със спрей с пароли, която е довела до компрометиране на наследен непроизводствен акаунт на тестови наемател.
По-късно компанията разкри, че тестовият акаунт не е имал активиран MFA, което е позволило на хакерите да получат достъп до системите на Microsoft.
Акаунтът е имал и достъп до приложение OAuth с повишен достъп до корпоративната среда на Microsoft, което е позволило на нападателите да получат достъп и да откраднат данни от корпоративните пощенски кутии. Тези имейл акаунти са принадлежали на членовете на ръководния екип на Microsoft и на неразкрит брой служители в отделите за киберсигурност и юридически отдели на компанията.
APT29 придоби известност след атаката по веригата за доставки на SolarWinds през 2020 г., която доведе до нарушаване на сигурността на някои федерални агенции на САЩ и множество компании, включително Microsoft.
По-късно Microsoft потвърди, че атаката е позволила на руската хакерска група да открадне изходния код за някои компоненти на Azure, Intune и Exchange.
През юни 2021 г. хакерите от APT29 отново пробиха корпоративен акаунт в Microsoft, което им осигури достъп до инструменти за поддръжка на клиенти.

 

Източник: e-security.bg

Подобни публикации

18 май 2024

Бивш лидер на OpenAI: Безопасността е "на заден...

Ян Лейке, който ръководеше екипа на OpenAI „Super Alignment&#...
18 май 2024

Киберсигурността в надпревара за разобличаване ...

Кевин Мандия, главен изпълнителен директор на Mandiant в Google Clo...
17 май 2024

Измамите с фалшиви фактури все още са сериозна ...

Измамите с фалшиви фактури не са нова тенденция, показват проучвани...
17 май 2024

Петима обвинени за киберсхеми в полза на оръжей...

Днес Министерството на правосъдието на САЩ повдигна обвинения на пе...
17 май 2024

Шпионската група "Маската" се появява отново сл...

Група за съвременни постоянни заплахи (APT), която не е била в дейс...
16 май 2024

400 000 Linux сървъра са засегнати от ботнета E...

Разширяването на ботнета Ebury Linux продължава без прекъсване през...
16 май 2024

Intel публикува 41 препоръки за сигурност за на...

Гигантът в областта на чиповете е пуснал пачове за повечето от тези...
Бъдете социални
Още по темата
16/05/2024

Ascension Healthcare претър...

Атаката прекъсна достъпа до електронните здравни...
15/05/2024

Microsoft отстранява грешки...

Днес Microsoft отстрани известен проблем, който...
14/05/2024

Цифровият живот след смъртт...

Специалистите по етика на изкуствения интелект...
Последно добавени
18/05/2024

Бивш лидер на OpenAI: Безоп...

Ян Лейке, който ръководеше екипа на...
18/05/2024

Киберсигурността в надпрева...

Кевин Мандия, главен изпълнителен директор на...
17/05/2024

Измамите с фалшиви фактури ...

Измамите с фалшиви фактури не са...
Ключови думи

Абонамента е почти завършен.

На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.

Моля, проверете електронната си поща за да потвърдите.

Благодарим за доверието!