.
A Agência Japonesa de Exploração Espacial (JAXA) descobriu que estava sendo atacada usando exploits de dia zero enquanto trabalhava com a Microsoft para investigar um ataque cibernético em seus sistemas em 2023.
Os sistemas da JAXA foram atacados no final de 2023, com a implementação do Active Directory sendo a mais afetada.
Uma investigação foi iniciada e redes foram retiradas do ar para verificar se nenhum dado confidencial sobre foguetes, satélites ou segurança nacional foi comprometido.
O acesso não autorizado ao Microsoft 365 (M365) foi considerado o início do incidente. A JAXA pediu à Microsoft para ajudar na investigação e, juntos, não encontraram mais nenhuma violação, revelou a agência.
Mas a declaração da organização espacial também revelou a descoberta de malware encontrado e removido por um ator diferente da Microsoft. E então há a menção de ataques de dia zero na última frase de uma seção sobre contramedidas como monitoramento de rede mais próximo e melhoria da segurança de acesso remoto adotada pela agência.
“No decorrer da adoção das medidas acima e do fortalecimento do monitoramento, detectamos e respondemos a vários acessos não autorizados à rede da JAXA desde janeiro deste ano (incluindo ataques de dia zero), embora nenhuma informação tenha sido comprometida”, diz a declaração.
A violação de 2023 forneceu aos invasores algumas informações hospedadas no serviço MS365 da JAXA, incluindo informações pessoais.
Felizmente, acredita-se que os sistemas comprometidos não incluem informações sensíveis relacionadas a veículos de lançamento e operações de satélite. A agência espacial também descartou o impacto potencial do ataque na cooperação com parceiros nacionais e internacionais.
Como o invasor usou várias cepas desconhecidas de malware, foi difícil detectar o acesso não autorizado, explicou a JAXA. A entrada inicial nos servidores e computadores internos da JAXA provavelmente foi obtida explorando uma vulnerabilidade de VPN. O invasor então expandiu seu acesso não autorizado e comprometeu as informações da conta de usuário da agência espacial. Essas informações da conta, por sua vez, foram usadas para acessar os serviços do MS365.
Os ataques cibernéticos recém-descobertos se somam a uma lista crescente para a JAXA. A agência foi violada em 2016 e 2012. O ataque de 2016 levou à prisão de um cidadão chinês afiliado ao Partido Comunista Chinês (PCC) e morando no Japão.
O ataque de 2023 não foi publicamente atribuído a uma pessoa ou organização. Considerando que o ataque de 2016 levou cinco anos antes que uma ação legal fosse tomada, isso ainda pode demorar um pouco. ®
.
