Érzékeny levelek kerültek az oroszokhoz a Microsoft meghackelésekor
Fokozott védelemre intették az amerikai szövetségi ügynökségeket, miután újabb részletek derültek ki a januári támadásról.
A Microsoft ellen indított folyamatos kibertámadás-sorozatban több amerikai szövetségi ügynökség e-mailjeihez is hozzáfértek az orosz kormány által szponzorált hackerek – erősítette meg az Amerikai Egyesült Államok Kiberbiztonsági és Infrastruktúra-biztonsági Ügynöksége (CISA). A januárban nyilvánosság elé tárt támadás során a Microsoft vállalati e-mail fiókjainak sikeres feltörésével a szövetségi kormány e-mailjei is láthatóvá váltak a „Midnight Blizzard”, vagy APT29-nek nevezett kiberbűnözői csoport számára, mely csoportosulás az orosz külföldi hírszerző szolgálatnak (SVR) dolgozik. A CISA nem nevezte meg az érintett szövetségi szerveket.
Az ügynökség szerint a támadás sikeres kivitelezése, az ügynökségek és a Microsoft közötti levelezés kiszűrése „súlyos és elfogadhatatlan kockázatot jelent", ezért új vészhelyzeti irányelvet adott ki, amely arra utasítja az Egyesült Államok szövetségi ügynökségeit, hogy vizsgálják ki a potenciálisan érintett e-maileket, állítsák vissza a hitelesítőadatokat, és tegyenek intézkedéseket a kiemelt fontosságú Microsoft Azure-fiókok biztonsága érdekében.
Nyerd meg az 5 darab, 1000 eurós Craft konferenciajegy egyikét! A kétnapos, nemzetközi fejlesztői konferencia apropójából a HWSW kraftie nyereményjátékot indít.
Az év elején vált nyilvánossá, hogy tavaly novembertől kezdve egy Kremlhez köthető hackercsoportnak sikerült hozzáférnie a Microsoft egyes vezetőinek levelezéseihez, és mivel a cég egészen január 12-ig nem észlelte a jogsértést, így az orosz hackerek két hónapig zavartalanul hozzáférhettek a kompromittált fiókokhoz. Később sikerült megerősíteni, hogy az orosz kiberkémek forráskódokat is loptak, valamint hozzáférhettek a belső rendszerekhez.
A Cozy Bear (továbbá APT29, Nobelium, vagy Midnight Blizzard) néven ismert, többek közt a SolarWinds támadásokért is felelős kiberbűnözői csoport által indított támadás a redmondiak szerint a vállalati e-mail-fiókok csak „nagyon kis százalékát” érintette, de az orosz feleknek sikerült belső üzeneteket és fájlokat lopniuk a vezetőktől, valamint a kiberbiztonsági és jogi részlegeken dolgozó alkalmazottak egy részétől is.
A Microsoft januárban úgy fogalmazott, hogy a hackerek tudomása szerint nem fértek hozzá az ügyfélkörnyezetekhez, termelési rendszerekhez, forráskódokhoz vagy MI-rendszerekhez, ami utólag értékelve már nem igaz. Az újabb vizsgálatok során kiderült, hogy a kiberbűnözők a vállalati e-mail rendszeren keresztül szerzett érzékeny információkat használták fel arra, hogy további jogosulatlan hozzáférést szerezhessenek a rendszer további részeibe, többek közt a vállalat néhány forráskód repository-jához és belsős rendszeréhez.
Adam Meyers, a CrowdStrike műveleti főnöke szerint az eset arra mutat rá, hogy a Microsoft nemzetbiztonsági fenyegetésnek tekinthető, az Azure szolgáltatásnak pedig szélesebb körű hitelesítési problémái vannak. Korábban Oroszország mellett Kína állami hackerei is célba vették a szoftveróriást, és a közelgő választások fényében még kockázatosabb, ha ellenséges nemzetállamok férnek hozzá a Microsoft érzékeny adataihoz.
Az Egyesült Államok Kiberbiztonsági Felülvizsgáló Testülete (CSRB) a hónap elején zárt le egy korábbi vizsgálatot a Microsoftot ért 2023-as incidens kapcsán, amikor a kínai kormány által támogatott hackerek (Storm-0558 ) támadták a céget. A kínaiaknak a redmondiak felhőszolgáltatásának hibáját kihasználva sikerült hozzáférniük amerikai és európai kormányzati dokumentumokhoz, többek közt alkalmazottak e-mail fiókjaihoz. A független testültet szerint a Microsoft "biztonsági kudarcok sorozatát" követi el.