美國政府表示,午夜暴雪 (Midnight Blizzard)對微軟公司電子郵件帳戶的入侵「給聯邦機構帶來了嚴重且不可接受的風險」
美國網路安全與基礎設施安全局(CISA) 週四(4/2)發布了一項緊急指令(ED 24-02),敦促聯邦機構在最近微軟系統遭到入侵並導致電子郵件通訊被盜後,尋找入侵跡象並制定預防措施。
今年稍早曝光的攻擊被認為是俄羅斯APT駭客組織 Midnight Blizzard(又名 APT29 或 Cozy Bear)所為。上個月,微軟透露攻擊者成功存取了部分原始碼儲存庫,但指出沒有證據表明面向客戶的系統遭到破壞。
CISA表示:“駭客正在利用最初從企業電子郵件系統洩露的資訊,包括微軟客戶和微軟通過電子郵件共享的身份驗證詳細資訊,來獲得或試圖獲得對微軟客戶系統的額外訪問權限。”
該機構表示,政府實體和微軟之間的電子郵件通訊被盜帶來了嚴重的風險,敦促有關各方分析洩露的電子郵件內容,重置受損的憑證,並採取額外措施確保特權Microsoft Azure 帳戶的身份驗證工具的安全性。
目前尚不清楚有多少聯邦機構的電子郵件交換在事件發生後被洩露,但 CISA 表示所有機構都已收到通知。
該機構還敦促受影響的實體在2024 年4 月30 日之前執行網路安全影響分析,並在2024 年5 月1 日晚上11:59 之前提供狀態更新。建議受該入侵影響的其他組織聯繫各自的Microsoft 帳戶團隊,並跟進任何問題。
CISA 表示:“無論直接影響如何,強烈鼓勵所有組織採用嚴格的安全措施,包括強密碼、多重身份驗證 (MFA) 以及禁止通過不安全的渠道共享未受保護的敏感資訊。”
這項進展正值 CISA發布了名為Malware Next-Gen的新版本惡意軟體分析系統之際,該系統允許組織提交惡意軟體樣本(匿名或以其他方式)和其他可疑工件進行分析。