Агентство кибербезопасности и инфраструктурной безопасности США (CISA) в четверг выпустило чрезвычайную директиву (ED 24-02), призывающую федеральные агентства выявлять признаки компрометации и принимать превентивные меры после недавнего взлома систем Microsoft, который привел к краже электронной переписки с компанией.
Атака, о которой стало известно ранее в этом году, была приписана российской государственной группе, отслеживаемой как Midnight Blizzard (она же APT29 или Cozy Bear). В прошлом месяце Microsoft сообщила, что злоумышленнику удалось получить доступ к некоторым из ее репозиториев исходного кода, но отметила, что нет никаких доказательств взлома клиентских систем.
Директива о чрезвычайных ситуациях, которая первоначально была разослана федеральным агентствам в частном порядке 2 апреля, была впервые опубликована CyberScoop двумя днями позже.
"Субъект угрозы использует информацию, первоначально отфильтрованную из корпоративных систем электронной почты, включая данные аутентификации, которыми обмениваются клиенты Microsoft и Microsoft по электронной почте, для получения или попытки получения дополнительного доступа к системам клиентов Microsoft", - сказали в CISA.
Агентство заявило, что кража электронной переписки между государственными структурами и Microsoft представляет серьезные риски, и призвало заинтересованные стороны проанализировать содержимое отфильтрованных электронных писем, сбросить скомпрометированные учетные данные и предпринять дополнительные шаги для обеспечения безопасности инструментов аутентификации для привилегированных учетных записей Microsoft Azure.
В настоящее время неясно, скольким федеральным агентствам была удалена электронная почта после инцидента, хотя CISA заявила, что все они были уведомлены.
Агентство также настоятельно призывает затронутые организации провести анализ воздействия на кибербезопасность к 30 апреля 2024 года и предоставить обновление статуса к 1 мая 2024 года, 11: 59 вечера. Другим организациям, пострадавшим от взлома, рекомендуется обращаться в соответствующую службу поддержки учетных записей Microsoft за любыми дополнительными вопросами или последующими действиями.
"Независимо от прямого воздействия, всем организациям настоятельно рекомендуется применять строгие меры безопасности, включая надежные пароли, многофакторную аутентификацию (MFA) и запрещенный обмен незащищенной конфиденциальной информацией по незащищенным каналам", - говорится в сообщении CISA.
CISA выпустила новую версию своей системы анализа вредоносных программ под названием Malware следующего поколения, которая позволяет организациям отправлять образцы вредоносных программ (анонимно или иным образом) и другие подозрительные артефакты для анализа.
Атака, о которой стало известно ранее в этом году, была приписана российской государственной группе, отслеживаемой как Midnight Blizzard (она же APT29 или Cozy Bear). В прошлом месяце Microsoft сообщила, что злоумышленнику удалось получить доступ к некоторым из ее репозиториев исходного кода, но отметила, что нет никаких доказательств взлома клиентских систем.
Директива о чрезвычайных ситуациях, которая первоначально была разослана федеральным агентствам в частном порядке 2 апреля, была впервые опубликована CyberScoop двумя днями позже.
"Субъект угрозы использует информацию, первоначально отфильтрованную из корпоративных систем электронной почты, включая данные аутентификации, которыми обмениваются клиенты Microsoft и Microsoft по электронной почте, для получения или попытки получения дополнительного доступа к системам клиентов Microsoft", - сказали в CISA.
Агентство заявило, что кража электронной переписки между государственными структурами и Microsoft представляет серьезные риски, и призвало заинтересованные стороны проанализировать содержимое отфильтрованных электронных писем, сбросить скомпрометированные учетные данные и предпринять дополнительные шаги для обеспечения безопасности инструментов аутентификации для привилегированных учетных записей Microsoft Azure.
В настоящее время неясно, скольким федеральным агентствам была удалена электронная почта после инцидента, хотя CISA заявила, что все они были уведомлены.
Агентство также настоятельно призывает затронутые организации провести анализ воздействия на кибербезопасность к 30 апреля 2024 года и предоставить обновление статуса к 1 мая 2024 года, 11: 59 вечера. Другим организациям, пострадавшим от взлома, рекомендуется обращаться в соответствующую службу поддержки учетных записей Microsoft за любыми дополнительными вопросами или последующими действиями.
"Независимо от прямого воздействия, всем организациям настоятельно рекомендуется применять строгие меры безопасности, включая надежные пароли, многофакторную аутентификацию (MFA) и запрещенный обмен незащищенной конфиденциальной информацией по незащищенным каналам", - говорится в сообщении CISA.
CISA выпустила новую версию своей системы анализа вредоносных программ под названием Malware следующего поколения, которая позволяет организациям отправлять образцы вредоносных программ (анонимно или иным образом) и другие подозрительные артефакты для анализа.
