Red Hot Cyber

La cybersecurity è condivisione.
Riconosci il rischio, combattilo, condividi le tue esperienze ed 
incentiva gli altri a fare meglio di te.

Cerca
Crowdstrike

Attacco a Microsoft: Le Agenzie Federali Americane sono a rischio. Midnight Blizzard ha in mano le credenziali di accesso

Redazione RHC : 14 Aprile 2024 09:03

Gli hacker legati alla Russia dietro l’attacco ai sistemi interni di Microsoft iniziato a fine novembre, hanno rubato credenziali delle agenzie federali. Tali agenzie potrebbero essere utilizzate per compromettere i dipartimenti governativi, hanno detto giovedì le autorità informatiche statunitensi.

La Cybersecurity and Infrastructure Security Agency ha emesso una direttiva di emergenza il 2 aprile, resa pubblica giovedì. Hanno richiesto alle agenzie federali di reimpostare le credenziali e ricercare potenziali violazioni o attività dannose. Il termine per segnalare queste azioni alla CISA era l’8 aprile.

“Le agenzie si sono mosse con straordinaria urgenza per porre rimedio a qualsiasi caso di credenziali potenzialmente esposte”, ha affermato giovedì Eric Goldstein, vicedirettore esecutivo per la sicurezza informatica presso CISA, durante una conferenza stampa. “Al momento, non siamo a conoscenza di alcun ambiente di produzione relativo alle agenzie che abbia subito una compromissione a seguito dell’esposizione delle credenziali.”

Secondo il CISA, Microsoft e diverse agenzie federali si sono scambiate le credenziali di accesso via e-mail, il che ha creato un rischio inaccettabile. Goldstein ha rifiutato di spiegare il motivo per cui le credenziali sono state condivise in questi casi. Ma gli accessi vengono talvolta condivisi come parte di un ticket o come parte di uno snippet di codice per risolvere un problema. “Questa non è certamente una buona pratica ed è associata a un significativo grado di rischio”, ha affermato Goldstein.

Il gruppo di minaccia sponsorizzato dallo stato russo che Microsoft identifica come Midnight Blizzard, noto anche come APT29 o Cozy Bear, stava ancora utilizzando i segreti rubati dai sistemi Microsoft alla fine di novembre per ottenere o tentare di ottenere ulteriore accesso all’infrastruttura dell’azienda il mese scorso, secondo quanto riferito da Microsoft. ha dichiarato la società in un documento depositato presso la Securities and Exchange Commission.

La CISA ha rifiutato di quantificare quante agenzie Microsoft abbiano notificato la potenziale esposizione o quali agenzie fossero tenute a conformarsi alla direttiva di emergenza. “Valutiamo che l’esposizione delle credenziali di autenticazione vero l’attore di Midnight Blizzard rappresenti un rischio notevole per l’impresa federale”, ha affermato Goldstein. “Le agenzie stanno effettuando delle analisi sulla base delle informazioni di Microsoft per valutare se le credenziali siano state effettivamente esposte o accessibili. Tale analisi è in corso”, ha concluso.

Quando è stato chiesto un commento, Microsoft ha detto: “Come abbiamo condiviso nel nostro blog dell’8 marzo, mentre scopriamo segreti creadenziali tea le nostre e-mail esfiltrate, stiamo lavorando con i nostri clienti per aiutarli a indagare e mitigare. Ciò include la collaborazione con il CISA su una direttiva di emergenza per fornire indicazioni alle agenzie governative”, ha affermato un portavoce di Microsoft. 

Redazione
La redazione di Red Hot Cyber è composta da un insieme di persone fisiche e fonti anonime che collaborano attivamente fornendo informazioni in anteprima e news sulla sicurezza informatica e sull'informatica in generale.