Agência espacial japonesa detectou ataques de dia zero durante limpeza de ataque ao M365
A Agência Japonesa de Exploração Espacial (JAXA) descobriu que estava sendo atacada usando exploits de dia zero enquanto trabalhava com a Microsoft para investigar um ataque cibernético em seus sistemas em 2023.
Os sistemas da JAXA foram atacados em final de 2023com sua implementação do Active Directory sofrendo o impacto.
Uma investigação foi iniciada e redes foram retiradas do ar para verificar se nenhum dado confidencial sobre foguetes, satélites ou segurança nacional foi comprometido.
O acesso não autorizado ao Microsoft 365 (M365) foi considerado o início do incidente. A JAXA pediu à Microsoft para ajudar na investigação e, juntos, não encontraram mais violações, disse a agência. revelado.
Mas a declaração da organização espacial também revelou a descoberta de malware encontrado e removido por um ator diferente da Microsoft. E então há a menção de ataques de dia zero na última frase de uma seção sobre contramedidas como monitoramento de rede mais próximo e melhoria da segurança de acesso remoto adotada pela agência.
“No decorrer da adoção das medidas acima e do fortalecimento do monitoramento, detectamos e respondemos a vários acessos não autorizados à rede da JAXA desde janeiro deste ano (incluindo ataques de dia zero), embora nenhuma informação tenha sido comprometida”, diz a declaração.
A violação de 2023 forneceu aos invasores algumas informações hospedadas no serviço MS365 da JAXA, incluindo informações pessoais.
Felizmente, acredita-se que os sistemas comprometidos não incluem informações sensíveis relacionadas a veículos de lançamento e operações de satélite. A agência espacial também descartou o potencial impacto do ataque na cooperação com parceiros nacionais e internacionais.
Como o invasor usou várias cepas desconhecidas de malware, foi difícil detectar o acesso não autorizado, explicou a JAXA. A entrada inicial nos servidores e computadores internos da JAXA provavelmente foi obtida explorando uma vulnerabilidade de VPN. O invasor então expandiu seu acesso não autorizado e comprometeu as informações da conta de usuário da agência espacial. Essas informações da conta, por sua vez, foram usadas para acessar os serviços do MS365.
Os ataques cibernéticos recentemente descobertos se somam a uma lista crescente para a JAXA. A agência foi violada em 2016 e 2012. O ataque de 2016 levou à prender prisão de um cidadão chinês filiado ao Partido Comunista Chinês (PCC) e residente no Japão.
O ataque de 2023 não foi publicamente atribuído a uma pessoa ou organização. Considerando que o ataque de 2016 levou cinco anos antes que uma ação legal fosse tomada, isso ainda pode demorar um pouco. ®
