ABD’de adı açıklanmayan bir Federal Sivil Yürütme Şubesi (FCEB) teşkilatı, 2023 yılının Haziran ayı ortalarında anormal e-posta etkinliği tespit etti ve bu, Microsoft’un iki düzine kuruluşu hedef alan Çin bağlantılı yeni bir casusluk kampanyası keşfetmesine yol açtı.
Ayrıntılar, ABD Siber Güvenlik ve Altyapı Güvenliği Teşkilatı (CISA) ve Federal Soruşturma Bürosu (FBI) tarafından 12 Temmuz 2023’te yayınlanan ortak bir siber güvenlik danışma belgesinden geliyor.
Yetkililer, “Haziran 2023’te bir Federal Sivil Yürütme Şubesi (FCEB) kurumu, Microsoft 365 (M365) bulut ortamında şüpheli etkinlik tespit etti.” söz konusu. “Microsoft, gelişmiş kalıcı tehdit (APT) aktörlerinin sınıflandırılmamış Exchange Online Outlook verilerine eriştiğini ve onları sızdırdığını belirledi.”
Devlet kurumunun adı açıklanmazken, CNN Ve Washington post konuyu bilen kişilere atıfta bulunarak ABD Dışişleri Bakanlığı olduğunu bildirdi. Ticaret Departmanının yanı sıra bir kongre çalışanına, ABD’li bir insan hakları savunucusuna ve ABD’li düşünce kuruluşlarına ait e-posta hesapları da hedef alındı. ABD’de etkilenen kuruluşların sayısı tahmini tek haneli olmak.
Açıklama, teknoloji devinin kampanyayı, özellikle Batı Avrupa’daki devlet kurumlarını hedef alan ve casusluk ve veri hırsızlığına odaklanan Storm-0558 adı altında izlediği, gelişmekte olan “Çin merkezli bir tehdit aktörüne” atfetmesinden bir gün sonra geldi. Şimdiye kadar toplanan kanıtlar, kötü niyetli etkinliğin tespit edilmeden bir ay önce başladığını gösteriyor.
Ancak Çin, bilgisayar korsanlığı olayının arkasında olduğu suçlamalarını reddetti. arama ABD’nin “dünyanın en büyük bilgisayar korsanlığı imparatorluğu ve küresel siber hırsızı” olduğunu ve “ABD’nin siber saldırı faaliyetlerini açıklamasının ve kamuoyunun dikkatini başka yöne çekmek için dezenformasyon yaymayı bırakmasının tam zamanı” olduğunu söyledi.
Saldırı zinciri, siber casusların Exchange Online (OWA) ve Outlook.com’daki Outlook Web Access’i kullanarak müşteri e-posta hesaplarına erişim elde etmek için sahte kimlik doğrulama belirteçlerinden yararlanmasını gerektirdi. Belirteçler, edinilmiş bir Microsoft hesabı (MSA) tüketici imzalama anahtarı kullanılarak sahte edildi. Anahtarın güvenli hale getirildiği kesin yöntem belirsizliğini koruyor.
İçeriden Gelen Tehditlere Karşı Kalkan: SaaS Güvenlik Duruş Yönetiminde Ustalaşın
İçeriden gelen tehditler konusunda endişeli misiniz? Seni koruduk! SaaS Güvenlik Duruş Yönetimi ile pratik stratejileri ve proaktif güvenliğin sırlarını keşfetmek için bu web seminerine katılın.
Kimlik bilgileri erişimini kolaylaştırmak için Storm-0558 tarafından kullanılan Bling adlı iki özel kötü amaçlı yazılım aracı ve Çiğrilİkincisi, şifrelenmiş dosyaların şifresini çözen ve tespit edilmekten kaçınmak için bunları doğrudan sistem belleğinden çalıştıran bir truva atı olarak nitelendirilmiştir.
CISA, FCEB ajansının Microsoft Purview Denetiminde gelişmiş günlük kaydından yararlanarak ihlali tespit edebildiğini söyledi. Posta Öğelerine Erişildi posta kutusu denetleme eylemi.
Ajans ayrıca kuruluşların Purview Denetim (Premium) günlüğe kaydetmeyi etkinleştirmesini, Microsoft 365 Birleşik Denetim Günlüğünü (UAL) ve bu tür etkinliklerin aranmasına izin vermek ve bunu ortamdaki beklenen davranıştan ayırt etmek için günlüklerin operatörler tarafından aranabilir olduğundan emin olun.
CISA ve FBI, “Kuruluşlar, anormal ve normal trafiği daha iyi anlamak için aykırı değerler aramaya ve temel kalıplara aşina olmaya teşvik ediliyor.”