VS waarschuwt instanties voor Russische Midnight Blizzard hackers

De Amerikaanse Cybersecurity and Infrastructure Security Agency (CISA) heeft  noodrichtlijn 24-02 publiekelijk uitgevaardigd als reactie op een recente campagne van de Russische, door de Russische staat gesponsorde cyberacteur Midnight Blizzard, die zich richtte op zakelijke e-mailaccounts van Microsoft en mogelijk toegang kreeg tot correspondentie met de Federal Civilian Executive Branch ( FCEB) agentschappen. 

De richtlijn werd aanvankelijk op 2 april 2024 aan federale instanties uitgevaardigd op basis van de momenteel beschikbare dreigingsinformatie en de beperkte toepasbaarheid van relevante acties, die gebaseerd zijn op de kennisgeving van openbaar gemaakte inloggegevens door Microsoft. Deze richtlijn vereist dat instanties mogelijk getroffen e-mails analyseren, eventuele gecompromitteerde inloggegevens resetten en aanvullende stappen ondernemen om geprivilegieerde Microsoft Azure-accounts te beveiligen.

Midnight Blizzard gebruikt informatie die aanvankelijk uit de zakelijke e-mailsystemen van Microsoft is geëxfiltreerd, inclusief authenticatiegegevens die per e-mail tussen Microsoft-klanten en Microsoft worden gedeeld, om extra toegang te krijgen of te proberen te krijgen tot bepaalde Microsoft-klantsystemen. Microsoft en CISA hebben alle federale instanties waarvan de e-mailcorrespondentie met Microsoft is geïdentificeerd als geëxfiltreerd door Midnight Blizzard, op de hoogte gebracht.

“Als Amerikaans cyberdefensieagentschap en operationeel leider voor de federale civiele cyberveiligheid, behoort het garanderen dat federale civiele agentschappen alle noodzakelijke stappen ondernemen om hun netwerken en systemen te beveiligen tot onze topprioriteiten. Deze noodrichtlijn vereist onmiddellijke actie van instanties om de risico’s voor onze federale systemen te verminderen”, aldus CISA-directeur Jen Easterly. “De Amerikaanse overheid documenteert al enkele jaren kwaadaardige cyberactiviteiten als standaardonderdeel van het Russische draaiboek; dit nieuwste compromis van Microsoft draagt ​​bij aan hun lange lijst. We zullen de inspanningen voortzetten in samenwerking met onze federale overheid en partners uit de particuliere sector om onze systemen tegen dergelijke bedreigingsactiviteiten te beschermen en te verdedigen.”

Terwijl federale civiele instanties dit mandaat uitvoeren, zal de CISA de naleving door de instanties beoordelen en ondersteunen en indien nodig aanvullende middelen ter beschikking stellen. CISA is vastbesloten om haar cyberveiligheidsautoriteiten in te zetten om een ​​grotere zichtbaarheid te verkrijgen en tijdige risicoreductie binnen federale civiele instanties te stimuleren.

Hoewel de vereisten van ED 24-02 alleen van toepassing zijn op FCEB-bureaus, kunnen andere organisaties ook getroffen zijn door de exfiltratie van Microsoft-bedrijfsaccounts en worden zij aangemoedigd contact op te nemen met hun respectievelijke Microsoft-accountteam voor advies. Ongeacht de directe impact worden alle organisaties sterk aangemoedigd om strenge beveiligingsmaatregelen toe te passen, waaronder sterke wachtwoorden, multifactor-authenticatie (MFA) en het verboden delen van onbeschermde gevoelige informatie via onbeveiligde kanalen.

Ga voor meer informatie over CISA-richtlijnen naar Cybersecurity-richtlijnen.