A Agência de Segurança da Cibersegurança e Infraestrutura dos EUA (CISA) emitiu na quinta-feira uma diretiva de emergência (ED 24-02) instando as agências federais a procurar sinais de comprometimento e a adotar medidas preventivas após o recente comprometimento dos sistemas da Microsoft, que levou ao furto de correspondência por email com a empresa.
O ataque, que veio à tona no início deste ano, foi atribuído a um grupo estatal russo monitorado como Midnight Blizzard (conhecido também como APT29 ou Cozy Bear).
No mês passado, a Microsoft revelou que o adversário conseguiu acessar alguns de seus repositórios de código-fonte mas observou que não há evidências de uma violação dos sistemas voltados para o cliente.
A diretiva de emergência, que foi inicialmente emitida de forma privada para as agências federais em 2 de abril, foi primeiramente reportada pelo CyberScoop dois dias depois.
"O ator de ameaça está usando informações inicialmente exfiltradas dos sistemas corporativos de email, incluindo detalhes de autenticação compartilhados entre clientes da Microsoft e a Microsoft por email, para obter, ou tentar obter, acesso adicional aos sistemas de clientes da Microsoft," disse a CISA.
A agência disse que o roubo de correspondência por email entre entidades governamentais e a Microsoft representa sérios riscos, instando as partes envolvidas a analisar o conteúdo dos emails exfiltrados, redefinir credenciais comprometidas e tomar medidas adicionais para garantir que as ferramentas de autenticação para contas privilegiadas do Microsoft Azure sejam seguras.
Atualmente, não está claro quantas agências federais tiveram suas trocas de email exfiltradas na sequência do incidente, embora a CISA tenha dito que todas elas foram notificadas.
A agência também está instando as entidades afetadas a realizar uma análise de impacto de cibersegurança até 30 de abril de 2024 e fornecer uma atualização de status até 1º de maio de 2024, às 23:59.
Outras organizações impactadas pela violação são aconselhadas a entrar em contato com sua respectiva equipe de conta da Microsoft para quaisquer perguntas adicionais ou acompanhamento.
"Independentemente do impacto direto, todas as organizações são fortemente incentivadas a aplicar medidas de segurança rigorosas, incluindo senhas fortes, autenticação multi-fator (MFA) e proibição do compartilhamento de informações sensíveis desprotegidas por canais inseguros," disse a CISA.
O desenvolvimento ocorre à medida que a CISA lançou uma nova versão do seu sistema de análise de malware, chamado Malware Next-Gen, que permite que organizações submetam amostras de malware (anonimamente ou não) e outros artefatos suspeitos para análise.
Publicidade
Em 14 de janeiro a Solyd irá revolucionar a forma como pentest e hacking deve ser ensinado. Se inscreva para ser o primeiro a saber das novidades. Saiba mais...