Hackers van het door Rusland gesteunde Midnight Blizzard wisten belangrijke e-mails te bemachtigen bij Microsoft. De aanval leidde tot het onderscheppen van de communicatie tussen regelgevers en het techbedrijf.
Dat concludeert de U.S. Cybersecurity & Infrastructure Security Agency (CISA). Het gevaar van het cyberincident, sinds januari bekend, is groot genoeg om nu een ‘emergency directive‘ te vereisen. Het aantal cyberaanvallen van Midnight Blizzard neemt daarnaast gigantisch toe. In februari vertienvoudigde de hoeveelheid infiltratiepogingen van deze groep, onder meer via ‘password spray‘-aanvallen.
Bij de bekendmaking van de Midnight Blizzard-aanval bleken de e-mailaccounts van de Microsoft-top te zijn buitgemaakt. Het dwingt CISA ertoe om andere Amerikaanse overheidsinstanties in actie te laten springen. Het voornaamste doel is om te voorkomen dat de Russische hackers opnieuw kunnen toeslaan, maar dan bij een overheidsinstantie. Daarnaast moet helder worden waar de overheid zelf haar security op kan hogen.
De schade opmaken
CISA eist een viertal stappen om de impact van de cyberaanval in kaart te brengen. Allereers moeten alle gecompromitteerde en onbetrouwbare tokens, wachtwoorden, API-keys en andere authenticatie-credentials in de ban gedaan worden. Dit geldt voor alle instanties die door CISA zijn geïdentificeerd als potentiële slachtoffers van de Midnight Blizzard-infiltratie van de Microsoft-mailaccounts.
Waar organisaties zelf vermoeden dat ze inderdaad gecompromitteerd zijn, is extra actie nodig. Credentials moeten opnieuw worden ingesteld en een breder review-proces van sign-ins, het verdelen van tokens en andere authenticatiemiddelen hoort plaats te vinden.
Alle betrokken instanties moeten daarnaast alle correspondentie met gecompromitteerde Microsoft-accounts inventariseren en CISA inlichten over deze en alle bovenstaande stappen waar nodig.
Dit initiatief zou duidelijk moeten maken voor de Amerikaanse overheid welke schade men mogelijk heeft geleden als gevolg van de Russische aanval. De discussies tussen Microsoft en overheidsinstanties zullen zeer divers van aard zijn en mogelijk relevant zijn voor de nationale veiligheid. Immers richten Microsoft-producten zich ook op overheden (pdf) en eist het bedrijf verantwoordelijkheid op over gevoelige informatie zoals staatsgeheimen.
Gevolgen moeilijk te overzien
Deze CISA-eis lijkt wat laat te komen, zeker nu al maanden bekend is dat Microsoft door Midnight Blizzard was aangevallen. Toch dient gezegd te worden dat het vooral Microsoft is geweest die heeft zitten treuzelen. Afgezien van het negeren van de security best practices die het zelf bij anderen aanraadt, koos Microsoft er meermaals voor om te wachten met het inlichten van CISA bij dergelijke incidenten. Het Amerikaanse Cyber Safety Review Board (CSRB) concludeerde bij een andere aanval (vanuit China) dat er een “opeenstapeling van fouten” aan ten grondslag lag.
Beluister ook onze Techzine Talks-aflevering waarin we dieper ingaan op de security-problemen bij Microsoft: