Le agenzie federali degli Stati Uniti sono state recentemente colpite da un grave rischio di sicurezza informatica. Un gruppo di hacker russi, noto come Midnight Blizzard o APT29, ha potenzialmente accesso a email di funzionari federali, mettendo a rischio informazioni sensibili. In questo articolo, esploreremo i dettagli di questo incidente, le azioni intraprese dalla Cybersecurity and Infrastructure Security Agency (CISA) e Microsoft, e forniremo suggerimenti per migliorare la sicurezza delle email federali.
L’Incidente
Il 2 aprile 2024, la CISA ha rilasciato un’ordinanza di emergenza per le agenzie federali, in risposta a un’indagine di Microsoft che ha rivelato un’intrusione nella piattaforma di email corporate. Il gruppo di hacker russi ha sfruttato un popolare strumento di autenticazione per accedere alle email di alti funzionari di Microsoft, inclusi potenzialmente corrispondenze con le agenzie federali civili esecutive (FCEB).
La CISA ha confermato che l’incidente potrebbe aver permesso agli hacker di accedere a corrispondenze che contenevano dettagli di autenticazione o credenziali. Nonostante ciò, la CISA non ha riferito alcuna compromissione di ambienti di produzione degli agenzie federali a causa dell’esposizione di credenziali.
Azioni di CISA
La CISA ha ordinato a tutte le agenzie FCEB di analizzare eventualmente colpite email, resettare le credenziali compromesse e proteggere le account Microsoft Azure privilegiate. Inoltre, Microsoft ha promesso di fornire metadati per le email esfiltrate che contengono segreti di autenticazione, come credenziali o password, alle agenzie interessate. La CISA ha anche designato la National Cyber Investigative Joint Task Force (NCIJTF) come punto di contatto unico per questo incidente.
Checklist per le Agenzie
La CISA ha fornito un checklist per le agenzie federali per affrontare l’incidente:
- Analisi delle Email: Tutte le agenzie devono analizzare le email potenzialmente colpite per identificare eventuali dettagli di autenticazione esposti.
- Reset delle Credenziali: Le credenziali compromesse devono essere resettate immediatamente.
- Sicurezza delle Account Azure: Le account Microsoft Azure privilegiate devono essere protette e monitorate costantemente.
- Aggiornamento del Software: Tutte le agenzie devono assicurarsi che il software sia aggiornato e che non ci siano vulnerabilità aperte.
Scadenziario
Le agenzie federali hanno un termine di 30 aprile per completare tutte le azioni richieste dalla CISA. La CISA richiederà aggiornamenti sullo stato delle azioni entro il 8 aprile e un altro aggiornamento entro il 1 maggio. La CISA pianifica di inviare un rapporto sull’incidente al direttore dell’Ufficio di Gestione del Bilancio, al segretario della Sicurezza Interna e all’Ufficio del Direttore Nazionale della Cybersecurity entro il 1 settembre.
L’incidente di accesso non autorizzato alle email federali è un chiaro esempio della necessità di una continua attenzione alla sicurezza informatica. La CISA e Microsoft stanno lavorando insieme per proteggere le informazioni sensibili delle agenzie federali. Seguendo questi suggerimenti, le agenzie federali possono ridurre significativamente il rischio di accessi non autorizzati e garantire la sicurezza delle loro comunicazioni.
Fonte: https://therecord.media/stolen-account-info-federal-agencies-cisa
