Američka agencija za kibernetičku i infrastrukturnu sigurnost (CISA) u četvrtak je izdala hitnu direktivu (ED 24-02) pozivajući federalne agencije da traže znakove kompromisa i uvedu preventivne mjere nakon nedavnog kompromitovanja Microsoftovih sistema koji je doveo do krađe e-mail korespondencije sa kompanijom.
Napad, koji je otkriven ranije ove godine, pripisuje se ruskoj nacionalnoj grupi praćenoj kao Midnight Blizzard (aka APT29 ili Cozy Bear). Prošlog mjeseca, Microsoft je otkrio da je protivnik uspio pristupiti nekim od spremišta izvornog koda, ali je napomenuo da nema dokaza o proboju sistema okrenutih korisnicima.
O hitnoj direktivi, koja je prvobitno izdata privatno federalnim agencijama 2. aprila, CyberScoop je prvi izvijestio dva dana kasnije.
“Haker koristi informacije koje su prvobitno izvučene iz korporativnih sistema e-pošte, uključujući detalje o autentifikaciji koje dijele Microsoftovi klijenti i Microsoft putem e-pošte, kako bi dobio ili pokušao dobiti dodatni pristup Microsoftovim korisničkim sistemima”, rekla je CISA.
Agencija je saopštila da krađa korespondencije putem e-pošte između državnih organa i Microsofta predstavlja ozbiljne rizike, pozivajući zainteresovane strane da analiziraju sadržaj eksfiltriranih e-poruka, resetuju ugrožene kredencijale i preduzmu dodatne korake kako bi osigurali da alati za autentifikaciju za privilegovane Microsoft Azure naloge budu sigurni.
Trenutno nije jasno koliko je federalnih agencija imalo razmjenu e-pošte nakon incidenta, iako je CISA rekla da su sve one obaviještene.
Agencija takođe apeluje na pogođene subjekte da izvrše analizu uticaja na kibernetičku bezbjednost do 30. aprila 2024. i da obezbjede ažuriranje statusa do 1. maja 2024. u 23:59. Ostalim organizacijama koje su pogođene probojem savjetuje se da kontaktiraju svoj Microsoft nalog tim za sva dodatna pitanja ili praćenje.
“Bez obzira na direktan uticaj, sve organizacije se snažno ohrabruju da primjenjuju stroge sigurnosne mjere, uključujući jake lozinke, višefaktorsku autentifikaciju (MFA) i zabrane dijeljenje nezaštićenih osjetljivih informacija putem nesigurnih kanala”, navodi CISA.
Razvoj dolazi pošto je CISA objavila novu verziju svog sistema za analizu zlonamjernog softvera, pod nazivom Malware Next-Gen, koji omogućava organizacijama da dostave uzorke malvera (anonimno ili na drugi način) i druge sumnjive artefakte na analizu.
Izvor: The Hacker News
