Агентство з кібербезпеки та інфраструктури США (CISA) видало надзвичайну директиву, згідно з якою всі федеральні агентства повинні вжити заходів для захисту від атак російської хакерської групи, яка використовує скомпрометовані облікові записи Microsoft Corp. Про це повідомляє Silicon Angle.
Указ стосується кампанії ймовірно спонсорованої російською федерацією хакерської групи Midnight Blizzard через проникнення до електронної пошти урядовців США за допомогою скомпрометованих облікових записів Microsoft.
Директива вимагає від усіх агентств проаналізувати вміст викрадених електронних листів, видалити скомпрометовані облікові дані та вжити додаткових заходів для захисту привілейованих облікових записів Microsoft Azure.
У повному тексті директиви CISA докладно описує, як Midnight Blizzard використовує інформацію, спочатку викрадену із систем корпоративної електронної пошти, включно з деталями автентифікації, які надаються клієнтами електронною поштою, щоб отримати або спробувати отримати додатковий доступ до систем клієнтів Microsoft.
Посилаючись на дані компанії, CISA зазначає, що Midnight Blizzard збільшила кількість атак у лютому в 10 разів порівняно із січнем, коли вже спостерігався їх значний обсяг.
Одна з успішних атак Midnight Blizzard стосувалася корпорації Microsoft у січні, коли було зламано невелику кількість облікових записів електронної пошти, включно з обліковими записами вищого керівництва.
Надзвичайний указ вимагає від агентств вжити негайних заходів щодо усунення несправностей, якщо про них відомо або є підозри, що токени, паролі, ключі інтерфейсу програмування або інші облікові дані автентифікації можуть бути зламані.
До 30 квітня агентства повинні скинути облікові дані у пов’язаних програмах, дезактивувати всі програми, які більше не використовуються, і переглянути журнали входу, видачі токенів та інші журнали активності облікового запису на наявність ознак потенційної зловмисної діяльності.
Крім того, агентства зобов’язані ідентифікувати весь вміст листування зі зламаними обліковими записами Microsoft і проводити аналіз впливу на кібербезпеку. У випадках порушень автентифікації, виявлених під час аналізу, агентства повинні повідомити про це CISA та дотримуватися початкових кроків, надавши всю необхідну підтримку й оновлений графік цих дій.
Читайте також на ProIT: Ціна експлойтів нульового дня зростає. В чому причина?
Підписуйтеся на ProIT у Telegram, щоб не пропустити жодної публікації!