Seguendo l’inquietante attacco hacker legato all’intelligence russa che ha violato Microsoft, La CISA ha inviato un’allerta d’emergenza chiedendo alle agenzie federali affette il reset immediato delle credenziali di autenticazione.
La Cybersecurity and Infrastructure Security Agency (CISA) ha emesso un’urgente direttiva il 2 aprile a risposta ad una preoccupante campagna di hacking associata all’intelligence russa, denominata da Microsoft come “Midnight Blizzard”. Il risultato di questa azione è stata la violazione di Microsoft ed il furto di email e credenziali di accesso da molte agenzie federali civili americane. Il corpo di sicurezza ha esortato queste agenzie a modificare al più presto le loro credenziali di autenticazione.
Le agenzie federali colpite sono state immediatamente avvertite da Microsoft e CISA. Microsoft si è inoltre impegnata a inviare metadati relativi all’email esfiltrate che contenevano password o credenziali a tali agenzie. Il successo di questo attacco, che ha permesso l’esfiltrazione di corrispondenze tra le agenzie e Microsoft, ha causato notevoli rischi per le agenzie coinvolte.
La direttiva chiedeva un’azione immediata per risolvere il problema delle credenziali di autenticazione compromesse. Le agenzie avevano tempo fino al 30 aprile per reimpostare le credenziali delle applicazioni correlate ed al contempo identificare le corrispondenze email interessate dall’attacco. In aggiunta, dovevano riferire alla CISA le proprie attività a risposta del problema, con scadenza il primo maggio.
Midnight Blizzard è inoltre conosciuto come Cozy Bear e APT29. Fra i più noti attacchi attribuiti a questo gruppo si annovera quello alla società SolarWinds, emerso nel 2020, che ha colpito nove agenzie federali americane. Secondo la direttiva CISA, Midnight Blizzard cercava di ottenere ulteriori accessi ai sistemi dei clienti Microsoft utilizzando le informazioni inizialmente esfiltrate da questi account corporate. Manifestazioni evidenti di tale campagna intrusiva furono azioni di “password spraying”, aumentate fino a dieci volte rispetto a gennaio 2024.
La CISA, nel 2024, ha pubblicato una direttiva completa di emergenza per la vulnerabilità del prodotto Ivanti, integrandola con materiale supplementare. Sebbene le direttive CISA riguardino solo le agenzie federali, pongono spesso in allerta il settore privato, che ne segue da vicino le mosse per adottare misure di sicurezza adeguate.
La CISA, diretta da Jen Easterly, considera la cybersecurity e la difesa dai rischi malevoli un campo di fondamentale importanza. “Per molti anni, il governo degli Stati Uniti ha documentato le attività informatiche malevole come una parte standard del playbook russo; questa ultima compromissione di Microsoft si aggiunge alla loro lunga lista. Continueremo gli sforzi in collaborazione con i nostri partner del governo federale e del settore privato per proteggere e difendere i nostri sistemi da tali minacce.”