Взлом Microsoft российскими хакерами и его значение в сфере кибербезопасности

После того, как связанная с Россией хакерская группа получила доступ к электронным почтовым ящикам высшего руководства Microsoft, генеральный директор CrowdStrike Джордж Курц заявил в телевизионном интервью, что разоблачение содержит «скудные» детали, которые не объясняют, что произошло на самом деле.

Генеральный директор CrowdStrike Джордж Курц (George Kurtz) раскритиковал Microsoft за предоставление «скудных» деталей о взломе, который повлиял на высших руководителей Microsoft, и предположил, что раскрытие информации не является содержательным объяснением того, как произошел инцидент.

Курц, чья компания является главным конкурентом Microsoft во многих сегментах рынка кибербезопасности, сделал эти комментарии в понедельник во время интервью на CNBC.

Посмотреть полную версию интервью можно по ссылке

В пятницу, 19 января, компания Microsoft сообщила, что связанный с Россией субъект угроз смог похитить электронные письма членов ее команды высшего руководства, а также сотрудников отделов кибербезопасности и юридических отделов.

Технологический гигант приписывает атаку группе, которую он отслеживает как Midnight Blizzardа раньше отслеживал как Nobelium, и которую Microsoft считает ответственной за широкомасштабный взлом SolarWinds в 2020 году.

Имена руководителей Microsoft, чьи аккаунты пострадали, не разглашаются.

В своем сообщении в пятницу Microsoft заявила, что инцидент начался с атаки password spray в конце ноября 2023 года, которая скомпрометировала «учетная запись устаревшего, непроизводственного тестового тенанта».

В рамках интервью CNBC, Курц отметил, что это объяснение взлома Microsoft не совсем соответствует действительности.

«Я смущен, потому что Microsoft говорит о том, что это была непроизводственная тестовая среда. Так как непроизводственная тестовая среда привела к компрометации высших должностных лиц Microsoft [и] их электронных писем?», — сказал он. «Я думаю, что это еще не все, что может выйти наружу».

В своей критике Курц также ссылался на время публикации раскрытия информации о Microsoft, которое было обнародовано в пятницу после закрытия фондового рынка на выходные.

В дополнение к публикации в блоге, Microsoft обсудила инцидент в представлении в Комиссию по ценным бумагам и биржам США в пятницу, в рамках соблюдения недавно введенных правил раскрытия информации о кибератаках для публичных компаний.

«Когда вы публикуете это в пятницу в пять часов вечера, с минимальными деталями, я думаю, что информации будет больше,» — сказал Куртц во время интервью CNBC.

Во вторник Microsoft отказалась от дополнительных комментариев для CRN.

В своем сообщении в пятницу Microsoft заявила, что злоумышленники использовали разрешения от изначально скомпрометированной учетной записи, «получить доступ к очень небольшому проценту корпоративных учетных записей электронной почты Microsoft, включая членов нашей команды высшего руководства и сотрудников по кибербезопасности, юридических и других функций, и похитили некоторые электронные письма и прикрепленные к ним документы». Взлом также повлиял на учетные записи, принадлежащие сотрудникам кибербезопасности и юридического отдела компании, а также на «другие функции», заявили в Microsoft.

Microsoft заявила, что ее команда безопасности узнала о компрометации после того, как 12 января 2024 года обнаружила «атаку государственного актора на наши корпоративные системы».

Инициатива безопасного будущего

В своей заметке Microsoft также дважды упомянула о своей Инициативе безопасного будущего (Secure Future Initiative) — набор основных изменений, анонсированных в начале ноября 2023 года, направленных на улучшение безопасности Microsoft, а также безопасности ее широко используемых платформ.

«В рамках нашего постоянного стремления к обеспечению прозрачности, недавно утвержденного в нашей Инициативе безопасного будущего (SFI), мы делимся последними новостями», — говорится в сообщении Microsoft, опубликованном в пятницу.

Во время интервью CNBC в понедельник Курц поставил под сомнение акцент на этой инициативе, который Microsoft сделала в своем раскрытии.

«Когда вы внимательно посмотрите на некоторые вещи, о которых говорит Microsoft [в своем сообщении], то увидите эти безопасные инициативы и маркетинг вокруг них», — сказал он. «Если бы они тратили больше времени на раскрытие информации о том, что здесь произошло, и меньше на маркетинг и сокрытие этого, я думаю, это было бы лучше для индустрии».

Серия хакерских атак

Инцидент произошел после прошлогоднего громкого взлома облачных почтовых аккаунтов Microsoft, принадлежавших нескольким правительственным учреждениям США.

Считается, что атака, обнаруженная в июне 2023 года, задела электронную почту министра торговли Джины Раймондо, а также посла США в Китае Николаса Бернса и чиновников министерства торговли. Согласно сообщениям, всего с 10 аккаунтов Государственного департамента США было похищено 60 000 электронных писем во время компрометации, связанной с Китаем.

Частый критик безопасности Microsoft, Курц заявил в интервью CRN в 2023 году, что взлом облачной почты является примером того, как «провалы» Microsoft в сфере безопасности поставили под угрозу правительство и бизнес США.

В конце концов, проблемы с безопасностью Microsoft «ставят под угрозу миллионы и миллионы — десятки миллионов — клиентов», — сказал он в интервью CRN ранее.

Курц, который также является соучредителем CrowdStrike, повторил эти комментарии в интервью CNBC в понедельник. «Я думаю, что вы видите здесь системные сбои в работе Microsoft, которые ставят под угрозу не только своих клиентов, но и правительство США, которое является их крупным клиентом», — сказал он.

Парадокс Microsoft в контексте кибербезопасности

Корпорация Майкрософт всегда была популярной мишенью для злоумышленников. Когда у вас есть доминирующая в мире операционная система и значительная доля рынка почтовых платформ, программного обеспечения для повышения производительности, облачных сервисов и приложений, злоумышленники будут пытаться найти слабые места, которые можно будет эксплуатировать.

Ситуация осложняется тем, что Microsoft является не только поставщиком программного обеспечения и операционных систем, но и одним из лидеров на рынке кибербезопасности. Они предлагают инструменты и услуги для защиты от кибератак, которые часто нацелены на уязвимости, имеющиеся в их собственных продуктах.

В цифровом мире, где количество угроз постоянно растет, а злоумышленники находят новые методы для достижения своих целей, важно быть на шаг впереди злоумышленников и обеспечить свою инфраструктуру надежными решениями для защиты от киберинцидентов.

В портфеле iIT Distribution представлены решения от признанных в отрасли поставщиков. Наши партнеры, клиенты и организации любого масштаба могут сделать запрос на получение пробной версии решений любого поставщика через форму обратной связи на нашем сайте. Оставайтесь в безопасности!