JAV vyriausybė ketvirtadienį pranešė, kad Rusijos vyriausybės įsilaužėliai, neseniai patekę į „Microsoft“ įmonių e. pašto paskyras, gavo slaptažodžius ir kitą slaptą medžiagą, kuri galėjo leisti jiems įsilaužti į kelias JAV agentūras.
Imamasi neatidėliotinų priemonių
Kibernetinio saugumo ir infrastruktūros saugumo agentūra, Krašto saugumo departamento padalinys, antradienį išleido retą privalomą nurodymą neatskleidžiamam skaičiui agentūrų, kuriuo reikalaujama pakeisti visus prisijungimo duomenis, kurie buvo paimti, ir ištirti, kas dar gali kelti pavojų.
Direktyva buvo paskelbta ketvirtadienį, kai gavėjai jau buvo pradėję stiprinti savo apsaugą.
„CISA“ rašė, kad „sėkmingas įsilaužimas į „Microsoft“ įmonių elektroninio pašto paskyras ir agentūrų bei „Microsoft“ susirašinėjimo duomenų paviešinimas kelia didelę ir nepriimtiną riziką agentūroms“.
„Šia nepaprastąja direktyva reikalaujama, kad agentūros išanalizuotų eksfiltruotų e. laiškų turinį, atstatytų pažeistus įgaliojimus ir imtųsi papildomų veiksmų, kad užtikrintų privilegijuotų „Microsoft Azure“ paskyrų autentifikavimo priemonių saugumą.“
„Microsoft“ operacinė sistema „Windows“, „Outlook“ e. pašto programa ir kita programinė įranga naudojama visoje JAV vyriausybėje, todėl Redmonde įsikūrusiai bendrovei tenka didžiulė atsakomybė už federalinių darbuotojų ir jų darbo kibernetinį saugumą.
Reikšmingi padariniai
Antradienį paskelbtas įspėjimas išplečia galimus pažeidimo, kurį „Microsoft“ atskleidė sausio mėn., padarinius vyriausybei ir pagrindiniams verslo klientams, įskaitant kai kuriuos, kurie perparduoda „Microsoft“ produktus kitiems.
Prieš mėnesį programinės įrangos milžinė pranešė, kad įsilaužėliai gali siekti tų, su kuriais ji susirašinėjo elektroniniu paštu.
„CISA“ pareigūnai žurnalistams sakė, kad kol kas neaišku, ar įsilaužėliai, susiję su Rusijos karinės žvalgybos agentūra „SVR“, ką nors gavo iš atskleistų agentūrų.
Įsilaužėlių grupę „Microsoft“ vadina „Midnight Blizzard”, o kiti saugumo ekspertai – „Cozy Bear“ arba „APT29“.
Pareigūnai atsisakė nurodyti, kiek agentūrų gavo įspėjimą, pažymėdami, kad bendrovė vis dar aiškinasi, kas nutiko, ir gali rasti daugiau vyriausybinių taikinių.
„CISA“ nenustatė, kokio masto pavojus kyla nacionaliniams interesams. Tačiau Erikas Goldsteinas, vykdomasis direktoriaus padėjėjas kibernetinio saugumo klausimais, sakė, kad „galimybė, jog federaliniai autentifikavimo duomenys gali būti atskleisti „Midnight Blizzard“, iš tiesų kelia didelį pavojų federalinei įmonei, todėl reikia šios direktyvos ir joje numatytų veiksmų“.
„SVR“ grupė yra viena grėsmingiausių įsilaužėlių pasaulyje
Manoma, kad už įsilaužimą atsakinga „SVR“ grupė yra viena iš grėsmingiausių įsilaužėlių grupių pasaulyje ir dažnai vykdo sudėtingus ir ilgalaikius įsiskverbimus į strateginius taikinius.
Ji buvo atsakinga už išpuolį, kurio metu 2020 m. buvo užblokuota „SolarWinds“ tinklo programinė įranga ir jos programišiai galėjo įsilaužti į devynias federalines agentūras, ir, kaip manoma, buvo vienas iš Rusijos subjektų, įsilaužusių į Demokratų nacionalinio komiteto kompiuterius per 2016 m. prezidento rinkimų kampaniją.
Kol kas neaišku, kaip įsilaužėliams pavyko patekti į „Microsoft“ vyresniųjų vadovų e. pašto dėžutes. Tačiau šis įsilaužimas yra vienas iš kelių rimtų įsilaužimų į kompaniją, dėl kurių daugybė kitų bendrovių gali būti pažeidžiamos.
Kitas iš tokių incidentų – kai Kinijos vyriausybės įsilaužėliai, įveikę „Microsoft“ debesijos programinės įrangos pasiūlymų apsaugą, pavogė Valstybės departamento ir Prekybos departamento pareigūnų elektroninį paštą.
Šis kibernetinis įsilaužimas sukėlė didelę federalinės sistemos peržiūrą, kurios metu praėjusią savaitę bendrovė buvo paraginta peržiūrėti savo kultūrą, kurią Kibernetinio saugumo peržiūros valdyba įvardijo kaip leidžiančią „išvengti kaskadinių klaidų“.
