CISA, ABD federal ajanslarına Rus APT29 Hacking Grubu tarafından birden fazla Microsoft Kurumsal E -posta hesabının ihlalinden kaynaklanan riskleri ele almaları için yeni bir acil durum direktifi yayınladı.
Acil Durum Direktifi 24-02, 2 Nisan'da Federal Sivil Yürütme Şubesi (FCEB) ajanslarına verildi. Potansiyel olarak etkilenen e-postaları araştırmalarını, tehlikeye atılan kimlik bilgilerini (varsa) sıfırlamalarını ve ayrıcalıklı Microsoft Azure hesaplarını güvence altına almak için önlemler almalarını gerektiriyor.
CISA, Rusya Dış İstihbarat Servisi (SVR) operatörlerinin, Microsoft'un kurumsal e -posta sistemlerinden çalınan bilgileri, belirli müşteri sistemlerine erişmek için Microsoft ve müşterileri arasında paylaşılan kimlik doğrulama ayrıntıları da dahil olmak üzere kullandıklarını söylüyor.
"Bu acil durum direktifi, ajansların federal sistemlerimiz için riski azaltması için derhal harekete geçmesini gerektiriyor. Birkaç yıl boyunca ABD hükümeti, Rus oyun kitabının standart bir parçası olarak kötü niyetli siber faaliyetleri belgeledi; Microsoft'un bu son uzlaşması uzun listelerine katkıda bulunuyor," dedi CISA Direktörü Jen Perşembe günü Easterly.
"Sistemlerimizi bu tür tehdit faaliyetlerinden korumak ve savunmak için federal hükümet ve özel sektör ortaklarımızla işbirliği çabalarına devam edeceğiz."
Microsoft ve ABD Siber Güvenlik Ajansı, Microsoft ile e -posta yazışmaları Rus bilgisayar korsanları tarafından söndürülen tüm federal kurumları zaten bilgilendirdi.
CISA'nın yeni acil durum direktifi, ABD hükümeti ilk kez Federal Ajans e -postalarının Ocak Microsoft Borsası ihlallerinde ortaya çıktığını doğruladı.
CISA, etkilenen ajanslara, tehlikeye atılan Microsoft hesaplarıyla ajans yazışmalarının tam içeriğini belirlemelerini ve 30 Nisan 2024 yılına kadar bir siber güvenlik etki analizi yapmasını emretti.
Kimlik doğrulama uzlaşma belirtilerini tespit edenler:
ED 24-02 gereksinimleri yalnızca FCEB ajansları için geçerli olsa da, Microsoft kurumsal hesaplarının verilmesi, ilgili Microsoft hesap ekiplerinden rehberlik etmeye çağırılan diğer kuruluşları etkileyebilir.
Etkiye bakılmaksızın tüm kuruluşların, güçlü şifrelerin kullanılması, mümkün olduğunca çok faktörlü kimlik doğrulamasını (MFA) etkinleştirme ve teminatsız kanallar aracılığıyla korumasız hassas bilgileri paylaşmaktan kaçınma da dahil olmak üzere katı güvenlik önlemlerini benimsemesi de önemlidir.
Ocak ayında Microsoft, APT29 hackerlarının (gece yarısı Blizzard ve Nobelium olarak da izlendiği), eski üretim dışı test kiracı hesabının uzlaşmasına yol açan bir şifre sprey saldırısının ardından kurumsal e-posta sunucularını ihlal ettiğini açıkladı.
Şirket daha sonra test hesabının MFA'nın etkin olmadığını ve bilgisayar korsanlarının Microsoft'un sistemlerine erişmesine izin verdiğini açıkladı.
Hesap ayrıca, saldırganların kurumsal posta kutularından verilere erişmesine ve verilere erişmesine izin veren Microsoft'un kurumsal ortamına yüksek erişimi olan bir OAuth uygulamasına erişebildi. Bu e -posta hesapları, Microsoft'un liderlik ekibi üyelerine ve şirketin siber güvenlik ve hukuk departmanlarındaki açıklanmayan sayıda çalışana aitti.
APT29, 2020 Solarwinds tedarik zinciri saldırısından sonra kötü şöhret kazandı, bu da bazı ABD federal ajanslarının ve Microsoft da dahil olmak üzere çok sayıda şirketin ihlali ile sonuçlandı.
Microsoft daha sonra saldırının, Rus hackleme grubunun bazı Azure, Intune ve Exchange bileşenleri için kaynak kodu çalmasına izin verdi.
Haziran 2021'de, APT29 hackerları tekrar bir Microsoft kurumsal hesabını ihlal etti ve bunlara müşteri destek araçlarına erişim sağladı.
Microsoft, bilgisayar korsanlarının 2023 değişim saldırısında MSA anahtarını nasıl çaldığından hala emin değil
Microsoft, Mayıs ayını ihlal ettikten sonra ücretsiz günlüğe kaydetme özelliklerini genişletir
CISA, "kötü amaçlı yazılım yeni nesil" analiz sistemini halka açık hale getiriyor
Cisa, Sisense Hack'in kritik altyapıyı etkilediğini söylüyor
Keskinlik, bilgisayar korsanlarının GitHub depolarından duyarlı olmayan govt verilerini çaldığını doğrular
Kaynak: Bleeping Computer