A Agência de Segurança Cibernética e de Infraestrutura dos EUA (CISA) criou emitiu uma Diretiva de Emergência após a descoberta de que agentes de espionagem russos, conhecidos como Midnight Blizzard ou Cosy Bear, se infiltraram no sistema de e-mail da Microsoft. A violação, relatada pela primeira vez no início deste ano, permitiu que hackers acessassem e exfiltrassem dados confidenciais, incluindo correspondências por e-mail entre agências do Poder Executivo Civil Federal (FCEB) e a Microsoft. Os dados roubados incluem detalhes de autenticação, que supostamente estão sendo usados em tentativas de acessar outros sistemas.
Detalhes da violação e ações imediatas necessárias
Após detecção Após a violação, a Diretiva de Emergência ED 24-02 da CISA obriga as agências federais a realizar uma revisão completa dos e-mails comprometidos, redefinir quaisquer credenciais expostas e reforçar a segurança das ferramentas de autenticação, especialmente para contas privilegiadas do Microsoft Azure. As agências são obrigadas a comunicar as suas conclusões iniciais até 8 de abril, com uma atualização subsequente prevista para 1 de maio, seguida de atualizações semanais sobre os esforços de remediação até que o problema seja totalmente resolvido. A Microsoft se comprometeu a fornecer às agências afetadas metadados relacionados aos e-mails exfiltrados, auxiliando na identificação e mitigação de possíveis riscos de segurança.
Implicações e respostas
A violação não só significa uma grande ameaça à segurança cibernética, mas também lança uma sombra sobre as práticas de segurança da Microsoft. Críticos, incluindo Amit Yoran, presidente e CEO da Tenable, expressaram preocupações ao The Register sobre o tratamento da Microsoft do incidente, sugerindo que as “práticas de segurança indiferentes e a abordagem negligente à divulgação” da empresa representam um risco à segurança nacional. A escalada de tentativas de intrusão por parte da Midnight Blizzard, nomeadamente através de ataques de pulverização de palavras-passe que supostamente aumentaram dez vezes em Fevereiro em comparação com Janeiro, sublinha a ameaça persistente representada pelo grupo.
Em resposta à violação, a CISA planeja compilar um relatório abrangente até 1º de setembro, detalhando a situação entre agências e quaisquer questões pendentes. Este relatório será submetido ao Secretário de Segurança Interna e ao Diretor do Escritório de Gestão e Orçamento, com um documento. cópia também fornecida ao Diretor Nacional Cibernético. O incidente destaca os desafios contínuos na segurança cibernética e a necessidade de práticas de segurança vigilantes entre as agências federais e seus parceiros do setor privado.
