Avviso di pirateria informatica: secondo l'avvertimento di Microsoft, il gruppo APT cinese ha violato l'agenzia statunitense e più account di posta elettronica
Il Dipartimento di Stato degli Stati Uniti ha confermato di essere stato vittima di un importante attacco informatico, con gli ufficiali federali ancora in corso di indagine per determinare la causa alla base degli attacchi.
La violazione è stata scoperta initially da Microsoft, che ha scoperto che un attore minaccia persistente avanzata (APT) aveva ottenuto l'accesso e rubato dati non classificati di Exchange Online Outlook da un piccolo numero di account.
Secondo i resoconti, i hacker hanno utilizzato token di autenticazione falsificati per accedere alle email con una chiave di firma Microsoft consumer. L'attore APT coinvolto nell'attacco è stato identificato come Storm-0558, un gruppo che solitamente prende di mira i governi europei occidentali per spionaggio, furto di dati e accesso a credenziali.
L'attività è iniziata a maggio e si è protratta per circa un mese, con Storm-0558 che è entrato in 25 diverse organizzazioni, comprese almeno un'agenzia federale. Il numero totale di organizzazioni statunitensi interessate dall'attacco è nell'ordine delle decine, secondo un ufficiale di alto livello di CISA.
Un piccolo numero di individui nelle organizzazioni-target è stato interessato dagli hacker, con l'attore minaccia che ha anche ottenuto l'accesso ai conti di posta elettronica consumer di persone associate a queste organizzazioni.
L'Agenzia per la Sicurezza Infrastrutturale e la Cybersecurity (CISA) e l'FBI hanno rilevato attività insolite nell'ambiente Microsoft 365 di un'agenzia federale civile a metà giugno. Questa agenzia federale civile, successivamente identificata come il Dipartimento di Stato, ha informato Microsoft dell'incidente.
Gli ufficiali federali non hanno attribuito gli attacchi a un particolare paese, ma hanno confermato che un attore APT era coinvolto. Alla luce dell'attacco, CISA e l'FBI invitano i fornitori di infrastrutture critiche ad attivare la registrazione delle attività di audit.
Qualsiasi organizzazione che rilevi attività insolite nella propria nuvola o nell'ambiente on-premises dovrebbe contattare CISA o l'FBI, secondo gli ufficiali. Il gruppo APT sospetto nel caso specificato è probabile che sia uno tra i gruppi sponsorizzati dallo stato ben noti come Mustang Panda (Cina), Sandworm (Russia), OilRig o Lazarus, con Mustang Panda notato per il targeting della diplomazia del Sud-est asiatico all'inizio del 2024 e Sandworm per la distruzione dell'infrastruttura energetica europea a metà del 2024.
Leggi anche:
- La meravigliosa espansione della nebbia polverosa sconcerta gli astronomi vicino alle stelle supergiganti
- Aggiornamento per GeForce Now di Nvidia: RTX 5080 ora disponibile per gli abbonati Ultimate, portando i vantaggi di Blackwell al cloud gaming.
- Indagare sul potenziale impatto delle circostanze derivante dall'evento citato.
- Nel secondo trimestre si è registrato un aumento degli attacchi DDoS (Distributed Denial of Service) complessi
