От Microsoft 365 до VPN: японская JAXA расследует взлом систем

В конце 2023 года Японское агентство аэрокосмических исследований ( JAXA ) стало жертвой масштабной кибератаки с использованием уязвимости нулевого дня. Атака была направлена на реализацию Active Directory .

Началом инцидента послужил несанкционированный доступ к Microsoft 365 , что позволило злоумышленникам получить часть информации, хранящейся в сервисе. JAXA совместно с Microsoft установили, что дальнейших нарушений безопасности не произошло. В сетях JAXA также присутствовало не задокументированное вредоносное ПО, которое было удалено специалистами.

Хотя киберпреступники смогли получить доступ к некоторым данным в Microsoft 365, включая личную информацию, важно отметить, что скомпрометированные системы, по мнению JAXA, не содержат чувствительных данных, связанных с запуском ракет и космическими операциями.

В ходе усиленного мониторинга и принятия мер безопасности, с января 2024 года было обнаружено и предотвращено множество попыток получения несанкционированного доступа к сети JAXA, в том числе с использованием zero-day уязвимостей. Отмечается, что попытки взлома не привели к краже информации из систем агентства.

JAXA пояснила, что из-за использования злоумышленниками неизвестных разновидностей вредоносного ПО, обнаружить несанкционированный доступ было непросто. Предполагается, что первоначальный доступ к внутренним серверам и компьютерам агентства был получен через уязвимость в VPN . Затем хакеры расширили свои полномочия и получили доступ к учетным данным пользователей, что позволило проникнуть в сервисы Microsoft 365.

Агентство заверило, что атака не повлияла на сотрудничество с отечественными и международными партнерами. Инцидент пока не связан с каким-либо конкретным лицом или группировкой.

JAXA уже подвергалось атакам в 2016 году, когда китайские хакеры провели серию кибератак на японские организации, жертвами которых стали 20 компаний и исследовательских институтов, среди которых было и космическое агентство.