Злам Microsoft російськими хакерами та його значення у сфері кібербезпеки

Після того, як пов’язана з Росією хакерська група отримала доступ до електронних поштових скриньок вищого керівництва Microsoft, генеральний директор CrowdStrike Джордж Курц заявив в телевізійному інтерв’ю, що викриття містить “мізерні” деталі, які не пояснюють, що сталося насправді.

Генеральний директор CrowdStrike Джордж Курц (George Kurtz) розкритикував Microsoft за надання “мізерних” деталей про злом, який вплинув на вищих керівників Microsoft, і припустив, що розкриття інформації не є змістовним поясненням того, як стався інцидент.

Курц, чия компанія є головним конкурентом Microsoft у багатьох сегментах ринку кібербезпеки, зробив ці коментарі в понеділок під час інтерв’ю на CNBC.

Переглянути повну версію інтерв’ю можна за посиланням

У п’ятницю, 19 січня, компанія Microsoft повідомила, що пов’язаний з Росією суб’єкт загроз зміг викрасти електронні листи членів її команди вищого керівництва, а також співробітників відділів кібербезпеки та юридичних відділів.

Технологічний гігант приписує атаку групі, яку він відстежує як Midnight Blizzard, а раніше відстежував як Nobelium, і яку Microsoft вважає відповідальною за широкомасштабний злом SolarWinds у 2020 році.

Імена керівників Microsoft, чиї акаунти постраждали, не розголошуються.

У своєму повідомленні в п’ятницю Microsoft заявила, що інцидент почався з атаки password spray наприкінці листопада 2023 року, яка скомпрометувала “обліковий запис застарілого, невиробничого тестового тенанту”.

В рамках інтерв’ю CNBC, Курц наголосив, що це пояснення злому Microsoft не зовсім відповідає дійсності.

“Я збентежений, тому що Microsoft говорить про те, що це було невиробниче тестове середовище. Тож як невиробниче тестове середовище призвело до компрометації найвищих посадових осіб Microsoft [та] їхніх електронних листів?”, – сказав він. “Я думаю, що це ще не все, що може вийти назовні”.

У своїй критиці Курц також посилався на час публікації розкриття інформації про Microsoft, яке було оприлюднене у п’ятницю після закриття фондового ринку на вихідні.

На додаток до публікації в блозі, Microsoft обговорила інцидент у поданні до Комісії з цінних паперів і бірж США в п’ятницю, в рамках дотримання нещодавно запроваджених правил розкриття інформації про кібератаки для публічних компаній.

“Коли ви публікуєте це в п’ятницю о п’ятій годині вечора, з мінімальними деталями, я думаю, що інформації буде більше, ” – сказав Куртц під час інтерв’ю CNBC.

У вівторок Microsoft відмовилася від додаткових коментарів для CRN.

У своєму повідомленні в п’ятницю Microsoft заявила, що зловмисники використали дозволи від початково скомпрометованого облікового запису, “отримати доступ до дуже невеликого відсотка корпоративних облікових записів електронної пошти Microsoft, включаючи членів нашої команди вищого керівництва та співробітників з кібербезпеки, юридичних та інших функцій, і викрали деякі електронні листи та прикріплені до них документи”. Злом також вплинув на облікові записи, що належать співробітникам кібербезпеки та юридичного відділу компанії, а також на “інші функції”, заявили в Microsoft.

Microsoft заявила, що її команда безпеки дізналася про компрометацію після того, як 12 січня 2024 року виявила “атаку державного актора на наші корпоративні системи”.

Ініціатива безпечного майбутнього

У своєму дописі Microsoft також двічі згадала про свою Ініціативу безпечного майбутнього (Secure Future Initiative) – набір основних змін, анонсованих на початку листопада 2023 року, спрямованих на покращення безпеки Microsoft, а також безпеки її широко використовуваних платформ.

“В рамках нашого постійного прагнення до забезпечення прозорості, нещодавно затвердженого в нашій Ініціативі безпечного майбутнього (SFI), ми ділимося останніми новинами”, – йдеться в повідомленні Microsoft, опублікованому в п’ятницю.

Під час інтерв’ю CNBC у понеділок Курц поставив під сумнів акцент на цій ініціативі, який Microsoft зробила у своєму розкритті.

“Коли ви уважно подивитеся на деякі речі, про які говорить Microsoft [у своєму повідомленні], то побачите ці безпечні ініціативи та маркетинг навколо них”, – сказав він. “Якби вони витрачали більше часу на розкриття інформації про те, що тут сталося, і менше на маркетинг і приховування цього, я думаю, це було б краще для індустрії”.

Серія хакерських атак

Інцидент стався після тогорічного гучного зламу хмарних поштових акаунтів Microsoft, що належали кільком урядовим установам США.

Вважається, що атака, виявлена в червні 2023 року, зачепила електронну пошту міністра торгівлі Джини Раймондо, а також посла США в Китаї Ніколаса Бернса та чиновників міністерства торгівлі. Згідно з повідомленнями, загалом з 10 акаунтів Державного департаменту США було викрадено 60 000 електронних листів під час компрометації, пов’язаної з Китаєм.

Частий критик безпеки Microsoft, Курц заявив в інтерв’ю CRN у 2023 році, що злом хмарної пошти є прикладом того, як “провали” Microsoft у сфері безпеки поставили під загрозу уряд і бізнес США.

Зрештою, проблеми з безпекою Microsoft “ставлять під загрозу мільйони та мільйони – десятки мільйонів – клієнтів”, – сказав він в інтерв’ю CRN раніше.

Курц, який також є співзасновником CrowdStrike, повторив ці коментарі в інтерв’ю CNBC у понеділок. “Я думаю, що ви бачите тут системні збої в роботі Microsoft, які ставлять під загрозу не тільки своїх клієнтів, але й уряд США, який є їхнім великим клієнтом”, – сказав він.

Парадокс Microsoft в контексті кібербезпеки

Корпорація Майкрософт завжди була популярною мішенню для зловмисників. Коли у вас є домінуюча у світі операційна система та значна частка ринку поштових платформ, програмного забезпечення для підвищення продуктивності, хмарних сервісів і додатків, зловмисники будуть намагатися знайти слабкі місця, які можна буде експлуатувати.

Ситуація ускладнюється тим, що Microsoft є не лише постачальником програмного забезпечення та операційних систем, але й одним із лідерів на ринку кібербезпеки. Вони пропонують інструменти та послуги для захисту від кібератак, що часто націлені на вразливості, наявні у їхніх власних продуктах.

У цифровому світі, де кількість загроз постійно зростає, а зловмисники знаходять нові методи для досягнення своїх цілей, важливо бути на крок попереду зловмисників та забезпечити свою інфраструктуру надійними рішеннями для захисту від кіберінцидентів.

У портфелі iIT Distribution представлені рішення від визнаних у галузі постачальників. Наші партнери, клієнти та організації будь-якого масштабу можуть зробити запит на отримання пробної версії рішень будь-якого постачальника через форму зворотного зв’язку на нашому сайті. Залишайтеся в безпеці!