Русский 
English
Français
Deutsch
Español
Italiano
Português
日本語
한국어
Смягчение последствий для Китая
11 июля 2023 г. | Чарли Белл — исполнительный вице-президент Microsoft Security
Microsoft и другие представители отрасли призывают к прозрачности в отношении киберинцидентов, чтобы мы могли учиться и становиться лучше. Как мы заявляли ранее, мы не можем игнорировать экспоненциальный рост и частоту изощренных атак. Растущие проблемы, с которыми мы сталкиваемся, только укрепляют нашу приверженность более широкому обмену информацией и отраслевому партнерству.
Сегодня мы публикуем подробности деятельности китайского субъекта, которого Microsoft отслеживает как Storm-0558, который получил доступ к учетным записям электронной почты, затрагивающим примерно 25 организаций, включая правительственные учреждения, а также к соответствующим потребительским учетным записям лиц, вероятно, связанных с этими организациями. Мы работаем с затронутыми клиентами и уведомляем их, прежде чем публиковать более подробную информацию. На этом этапе – и в координации с клиентами – мы делимся подробностями инцидента и субъекта угрозы на благо отрасли.
Кибератаки продолжают становиться все более изощренными и частыми
Мотивированные злоумышленники продолжают концентрировать свои усилия на компрометации ИТ-систем. Эти хорошо обеспеченные ресурсами злоумышленники не делают различий между попытками скомпрометировать деловые или личные учетные записи, связанные с целевыми организациями, поскольку достаточно одного успешного входа в скомпрометированную учетную запись, чтобы получить постоянный доступ, украсть информацию и достичь шпионских целей. Субъектом угрозы, который Microsoft связывает с этим инцидентом, является базирующийся в Китае противник, которого Microsoft называет Storm-0558. По нашим оценкам, злоумышленник занимается шпионажем, например, получением доступа к системам электронной почты для сбора разведывательной информации. Этот тип злоумышленников, мотивированных шпионажем, стремится злоупотребить учетными данными и получить доступ к данным, находящимся в конфиденциальных системах.
Устранение проблем завершено для всех клиентов.
16 июня 2023 г. на основании информации, предоставленной клиентами, Microsoft начала расследование аномальной почтовой активности. В течение следующих нескольких недель наше расследование показало, что начиная с 15 мая 2023 года Storm-0558 получил доступ к данным электронной почты примерно 25 организаций, а также небольшого количества связанных с ними потребительских учетных записей лиц, вероятно, связанных с этими организациями. Они сделали это, используя поддельные токены аутентификации для доступа к электронной почте пользователя с помощью полученного ключа подписи потребителя учетной записи Microsoft (MSA). Microsoft завершила устранение этой атаки для всех клиентов.
Мы добавили существенные автоматические обнаружения для известных индикаторов компрометации, связанных с этой атакой, чтобы усилить защиту и клиентскую среду, и мы не обнаружили никаких доказательств дальнейшего доступа.
Скоординированное реагирование является ключом к быстрому смягчению последствий.
Расследование Microsoft в режиме реального времени и сотрудничество с клиентами позволяют нам применять средства защиты в облаке Microsoft для защиты наших клиентов от попыток вторжения Storm-0558. Мы смягчили атаку и связались с пострадавшими клиентами. Мы также сотрудничаем с соответствующими государственными учреждениями, такими как DHS CISA. Мы благодарны, что они и другие люди работают с нами, чтобы помочь защитить пострадавших клиентов и решить проблему. Мы благодарны нашему сообществу за быстрый, решительный и скоординированный ответ.
Более подробную информацию о поддержке наших клиентов и сообщества защитников можно найти здесь.
Ответственность начинается с нас
Подотчетность начинается прямо здесь, в Microsoft. Мы по-прежнему твердо придерживаемся своих обязательств по обеспечению безопасности наших клиентов. Мы постоянно проводим самооценку, извлекаем уроки из инцидентов и совершенствуем наши платформы идентификации и доступа для управления растущими рисками, связанными с ключами и токенами.
Нам нужно продолжать расширять границы безопасности, чтобы быть готовыми ко всему, что может произойти на нашем пути. Мы продолжим работать с нашими клиентами и сообществом, чтобы обмениваться информацией и укреплять нашу коллективную защиту.