La Cybersecurity and Infrastructure Security Agency (CISA) ha dichiarato che un recente attacco sponsorizzato dalla Russia al sistema di posta elettronica di Microsoft è stato in grado di rubare dati sensibili e, come conseguenza, le agenzie interessate devono adottare misure correttive immediate.

In una direttiva d’emergenza datata 2 aprile ma divulgata solo venerdì 12 aprile, la CISA ha avvertito che agenti sponsorizzati dalla Russia sono riusciti a esfiltrare la corrispondenza e-mail tra le agenzie del Federal Civilian Executive Branch (FCEB) e la stessa Microsoft, in seguito a una violazione dei sistemi interni di Redmond riportata il mese scorso.

I colpevoli, identificati come Midnight Blizzard ma noti anche come Cozy Bear, sono riusciti a carpire le informazioni condivise via e-mail tra i clienti e Microsoft, compresi i dati di autenticazione. Secondo la CISA, queste informazioni sono state utilizzate per tentare di accedere ad altri sistemi, compresi quelli dei clienti Microsoft.

Cybersecurity

In risposta, la direttiva di emergenza ED 24-02 emessa dalla CISA richiede alle agenzie federali di esaminare e analizzare il contenuto delle e-mail esfiltrate, di ripristinare le credenziali compromesse e di adottare ulteriori misure per garantire la sicurezza degli strumenti di autenticazione per gli account Microsoft Azure privilegiati.

Microsoft, che ha accettato di fornire a tutte le agenzie interessate i metadati relativi alle e-mail esfiltrate che contengono credenziali, fornirà alla CISA i metadati di tutta la corrispondenza esfiltrata delle agenzie federali, su richiesta della National Cyber Investigative Joint Task Force guidata dall’FBI. Microsoft ha inoltre dichiarato che Midnight Blizzard ha decuplicato il volume dei suoi tentativi di intrusione rispetto al volume già considerevole di tentativi osservati nel gennaio 2024.

“Le pratiche di sicurezza poco rigorose di Microsoft e l’approccio negligente alla divulgazione hanno implicazioni per la sicurezza nazionale e dovrebbero allarmare i suoi clienti commerciali, che non hanno necessariamente la voce o l’attenzione che potrebbe avere il governo degli Stati Uniti” ha commentato Amit Yoran, presidente e amministratore delegato della società di cybersicurezza Tenable. “Purtroppo, considerando i costanti precedenti di Microsoft in fatto di divulgazioni parziali, dichiarazioni fuorvianti e minimizzazione degli incidenti di sicurezza, non è sorprendente apprendere che la campagna di intrusione di Midnight Blizzard si sia intensificata dopo essere stata inizialmente scoperta”.