De Amerikaanse Cybersecurity and Infrastructure Security Agency (CISA) heeft donderdag een noodrichtlijn (ED 24-02) uitgevaardigd waarin federale instanties worden opgeroepen op zoek te gaan naar tekenen van compromissen en preventieve maatregelen te nemen na de recente compromittering van de systemen van Microsoft die heeft geleid tot de diefstal van e-mailcorrespondentie met het bedrijf.
De aanval, die eerder dit jaar aan het licht kwam, wordt toegeschreven aan een Russische natiestaatgroep die wordt gevolgd als Midnight Blizzard (ook bekend als APT29 of Cosy Bear). Vorige maand onthulde Microsoft dat de tegenstander erin slaagde toegang te krijgen tot enkele van zijn broncodeopslagplaatsen, maar merkte op dat er geen bewijs is van een inbreuk op klantgerichte systemen.
De noodrichtlijn, die oorspronkelijk op 2 april particulier aan federale instanties werd uitgevaardigd, werd twee dagen later voor het eerst gerapporteerd door CyberScoop.
“De bedreigingsacteur gebruikt informatie die aanvankelijk uit de zakelijke e-mailsystemen is geëxfiltreerd, inclusief authenticatiegegevens die per e-mail tussen Microsoft-klanten en Microsoft worden gedeeld, om extra toegang te krijgen of te proberen te krijgen tot Microsoft-klantsystemen”, aldus CISA.
Het bureau zei dat de diefstal van e-mailcorrespondentie tussen overheidsinstanties en Microsoft ernstige risico's met zich meebrengt, en dringt er bij betrokken partijen op aan om de inhoud van geëxfiltreerde e-mails te analyseren, gecompromitteerde inloggegevens te resetten en aanvullende stappen te ondernemen om ervoor te zorgen dat authenticatiehulpmiddelen voor bevoorrechte Microsoft Azure-accounts veilig zijn.
Het is momenteel niet duidelijk van hoeveel federale agentschappen hun e-mailuitwisselingen zijn geëxfiltreerd in de nasleep van het incident, hoewel CISA zegt dat ze allemaal op de hoogte zijn gesteld.
Het agentschap dringt er ook bij de getroffen entiteiten op aan om vóór 30 april 2024 een cybersecurity-impactanalyse uit te voeren en vóór 1 mei 2024, 23:59 uur een statusupdate te verstrekken. Andere organisaties die door de inbreuk worden getroffen, wordt geadviseerd contact op te nemen met hun respectievelijke Microsoft-account team voor eventuele aanvullende vragen of follow-up.
“Ongeacht de directe impact worden alle organisaties sterk aangemoedigd om strenge beveiligingsmaatregelen toe te passen, waaronder sterke wachtwoorden, multi-factor authenticatie (MFA) en het verboden delen van onbeschermde gevoelige informatie via onbeveiligde kanalen”, aldus CISA.
De ontwikkeling komt op het moment dat CISA een nieuwe versie van zijn malware-analysesysteem heeft uitgebracht, genaamd Malware Next-Gen, waarmee organisaties malware-samples (al dan niet anoniem) en andere verdachte artefacten ter analyse kunnen indienen.
