美国网络安全机构 CISA 周四发布了一项紧急指令,要求所有联邦机构立即寻找已知的俄罗斯 APT 的迹象,该 APT 闯入微软公司网络并窃取美国政府机构的敏感信件。
该指令是在微软披露了令人尴尬的黑客攻击事件并确认“Midnight Blizzard(午夜暴雪)”攻击者还窃取了源代码并且可能仍在其内部计算机系统中进行攻击之后不到三个月的时候发布的。
根据CISA 指令,联邦机构必须立即“分析被窃取的电子邮件的内容,重置受损的凭据,并采取额外措施确保特权 Microsoft Azure 帐户的身份验证工具的安全。”
CISA 表示:“Midnight Blizzard 成功入侵了 Microsoft 公司电子邮件帐户,并泄露了各机构与 Microsoft 之间的通信,这给各机构带来了严重且不可接受的风险。”
该机构警告说,俄罗斯政府支持的黑客正在利用最初从企业电子邮件系统窃取的信息(包括微软客户和微软通过电子邮件共享的身份验证详细信息)来获得或试图获得对微软客户系统的额外访问权限。
该机构表示,它与全球最大的软件制造商合作,通知所有与微软的电子邮件通信被确定被Midnight Blizzard黑客组织入侵的联邦机构。
CISA 表示:“此外,微软已向 CISA 表示,对于部分受影响的机构,其泄露的电子邮件包含凭据或密码等身份验证机密,微软将向这些机构提供此类电子邮件的元数据。”
该机构表示,微软还同意应国家网络调查联合工作组 (NCIJTF) 的要求,提供所有被窃取的联邦机构信件的元数据,无论是否存在身份验证秘密,该工作组是本次事件的单一联邦联络点。
今年早些时候,微软表示,专业黑客团队使用密码喷射攻击入侵了一个遗留的非生产测试租户帐户并获得立足点,然后利用该帐户的权限访问了极小比例的微软企业电子邮件帐户。
“他们窃取了一些电子邮件和附加文件,”微软在向美国证券交易委员会(SEC)提交的文件中表示。该公司表示,其安全团队于 2024 年 1 月 12 日检测到黑客对我们公司系统的攻击,并将感染追溯到 2023 年 11 月。
CSRB 报告称:“微软的安全文化不够充分,需要进行彻底改革,特别是考虑到该公司在技术生态系统中的中心地位以及客户对公司保护其数据和运营的信任程度。”
转自会杀毒的单反狗,原文链接:https://mp.weixin.qq.com/s/NvHSDzCgQiVS1clATCMt8A
封面来源于网络,如有侵权请联系删除