11 апреля 2024 года была опубликована чрезвычайная директива. Агентство кибербезопасности и безопасности инфраструктуры (CISA) относительно возможного взлома электронной почты федеральных агентств поддерживаемой российским государством хакерской группой. Это нарушение произошло в рамках более масштабного взлома учетных записей корпоративной электронной почты Microsoft.

Подробности о нарушении

Российская хакерская группа, известная как Midnight Blizzard или APT29 и связан с Служба внешней разведки России (СВР), использовал популярный инструмент аутентификации для доступа к учетным записям электронной почты старших руководителей Microsoft. CISA подтвердила, что это нарушение «потенциальнопозволил хакерам получить доступ к «переписка с федеральными агентствами Федеральной гражданской исполнительной власти (FCEB)», который может содержать данные аутентификации или учетные данные.

CISA сообщила, что задействованные федеральные агентства были уведомлены как CISA, так и Microsoft об электронных письмах, похищенных российскими хакерами. Microsoft также согласилась предоставить пострадавшим агентствам метаданные из украденных электронных писем, в том числе те, которые содержат секреты аутентификации. Кроме того, Национальная совместная группа киберрасследований (NCIJTF) вызвалась стать единым контактным лицом по этому инциденту, а Microsoft предоставит метаданные всей украденной корреспонденции федеральных агентств по запросу NCIJTF.

Действия, требуемые от федеральных агентств

CISA издало директиву, требующую от всех Агентства FCEB проанализируют потенциально причастные электронные письмавосстановить скомпрометированные учетные данные и защитить привилегированные учетные записи Microsoft Azure после продолжающихся попыток группы хакеров получить «дополнительный доступ к системам клиентов Microsoft«. СНГА также запросил обновленную информацию о статусе действий на 1 апреля и планирует направить отчет об инциденте к 1 сентября директоруУправление управления и бюджета, министр внутренней безопасности и офис директора национальной кибербезопасности..

Важно отметить, что хотя директива применима только к федеральным агентствам, другие организации могут пострадать от кражи электронной почты, и им рекомендуется обращаться в Microsoft для получения дополнительной информации.

Контекст и последствия

Директор CISA Джен Истерли подчеркнула, что немедленные действия, требуемые директивой, направлены на «снизить риск для наших федеральных систем«. Он также рассказал о том, как правительство США на протяжении многих лет документировало злонамеренную кибер-активность как часть российской тактики и как это взлом Microsoft дополняет длинный список атак. Истерли заверил, что CISA продолжит работать с федеральным правительством и партнеров из частного сектора для защиты систем от подобных угроз в будущем.

Ранее, Майкрософт он объяснил в обновлении своего Январский блог о том, что группа Midnight Blizzard пытался использовать украденную информацию для доступа к репозиториям исходного кода и внутренним системам компании. Эта хакерская группа хорошо известна своей атакой на технологическую компанию в 2020 году. Солнечные Ветры, что дало им доступ к многочисленным крупным компаниям и нескольким правительственным ведомствам США. Соединенные Штатыв том числе Министерство обороны, Министерство юстиции, Министерство торговли, Министерство финансов, Государственный департамент и другие..

Важно отметить, что Microsoft подверглась резкой критике со стороны Министерства внутренней безопасности США за отсутствие адекватно защищенные системы, широко используемые федеральным правительством и за отказ предоставить определенную информацию федеральным агентствам, которые пострадали от утечки данных. В этом отчете кража электронной почты в России упоминается как еще один пример того, что Microsoft необходимо внести радикальные изменения в свою систему безопасности.

Источник статьи ВОЗ.