От Microsoft 365 до VPN: японская JAXA расследует взлом систем

В конце 2023 года Японское агентство аэрокосмических исследований (JAXA) стало жертвой масштабной кибератаки с использованием уязвимости нулевого дня. Атака была направлена на реализацию Active Directory.

Началом инцидента послужил несанкционированный доступ к Microsoft 365, что позволило злоумышленникам получить часть информации, хранящейся в сервисе. JAXA совместно с Microsoft установили, что дальнейших нарушений безопасности не произошло. В сетях JAXA также присутствовало не задокументированное вредоносное ПО, которое было удалено специалистами.

Хотя киберпреступники смогли получить доступ к некоторым данным в Microsoft 365, включая личную информацию, важно отметить, что скомпрометированные системы, по мнению JAXA, не содержат чувствительных данных, связанных с запуском ракет и космическими операциями.

В ходе усиленного мониторинга и принятия мер безопасности, с января 2024 года было обнаружено и предотвращено множество попыток получения несанкционированного доступа к сети JAXA, в том числе с использованием zero-day уязвимостей. Отмечается, что попытки взлома не привели к краже информации из систем агентства.

JAXA пояснила, что из-за использования злоумышленниками неизвестных разновидностей вредоносного ПО, обнаружить несанкционированный доступ было непросто. Предполагается, что первоначальный доступ к внутренним серверам и компьютерам агентства был получен через уязвимость в VPN. Затем хакеры расширили свои полномочия и получили доступ к учетным данным пользователей, что позволило проникнуть в сервисы Microsoft 365.

Агентство заверило, что атака не повлияла на сотрудничество с отечественными и международными партнерами. Инцидент пока не связан с каким-либо конкретным лицом или группировкой.

JAXA уже подвергалось атакам в 2016 году, когда китайские хакеры провели серию кибератак на японские организации, жертвами которых стали 20 компаний и исследовательских институтов, среди которых было и космическое агентство.