Microsoft Storm-0558 adlı yeni bir “Çin merkezli tehdit aktörü” keşfetti. Yakın tarihli bir blog gönderisinde, yazılım devi casusluk grubunun bir anahtar çaldığını ortaya çıkardı. Bu anahtar, saldırganların birkaç ABD devlet kurumuna ait olanlar da dahil olmak üzere e-posta gelen kutularına girmesine izin verdi. Şirket, şu anda bilgisayar korsanlarının, e-posta hesaplarına erişmek için kimlik doğrulama belirteçleri oluşturmak için kötüye kullandıkları bir Microsoft imzalama anahtarını nasıl elde ettiklerini araştırdıklarını söyledi. Hedeflerin arasında ABD Ticaret Bakanı Gina Raimondo, ABD Dışişleri Bakanlığı yetkilileri ve kamuya açıklanmayan diğer kuruluşlar yer aldığı bildiriliyor. TechCrunch tarafından hazırlanan bir rapora göre, ABD hükümeti saldırıları açıkça kabul etmedi. Ancak Çin’in üst düzey dışişleri bakanlığı sözcüsü iddiaları yalanladı.
Bilgisayar korsanları Microsoft’un Anahtarını nasıl kullandı?
Microsoft, bilgisayar korsanlarının tüketici imzalama anahtarlarından veya MSA anahtarından birini ele geçirdiğini söyledi. Bu anahtar, şirketin Outlook.com gibi tüketici e-posta hesaplarının güvenliğini sağlamasına yardımcı olur. Microsoft, bilgisayar korsanlarının kurumsal gelen kutularına girmelerine izin veren belirteçleri taklit etmek için bu tüketici MSA anahtarını kullandıklarını tespit etti. Şirket, bunun “Microsoft kodundaki bir doğrulama hatasından” kaynaklandığını belirtti. Şirket, bu olayla ilgili “tüm aktör faaliyetlerini” engellediğini ve bilgisayar korsanlarının erişimi kaybettiğini söyledi.
Bilgisayar korsanları birkaç gelen kutusuna erişmek için aynı anahtarı kullandığından, bu, araştırmacıların “hem kurumsal hem de tüketici sistemlerimizde bu modeli izleyen tüm aktör erişim isteklerini görmelerine” olanak sağladı.
Bu olay Microsoft için nasıl bir endişe kaynağı olabilir?
ABD siber güvenlik ajansı CISA, Mayıs ortasında başlayan saldırıların az sayıda devlet hesabını da içerdiğini söyledi. Bilgisayar korsanları bazı sınıflandırılmamış e-posta verilerini çalmayı başardı.
Daha önce Çin, kurumsal verileri çalmak için Microsoft destekli e-posta sunucularını bireysel olarak hacklemeye çalıştı. Ancak en son grup, Microsoft’un bulutundaki yeni ve açıklanmayan güvenlik açıklarını hedef alarak doğrudan kaynağa gitti.
Şirket şimdi, 2020’de SolarWinds’i hackleyen Rus casusluk kampanyasından bu yana sınıflandırılmamış ABD hükümeti verilerinin en büyük ihlali olarak kabul edilen bu olay nedeniyle incelemeye tabi tutuluyor.
Microsoft’un ayrıca, her devlet dairesine, daha yüksek ücretli katman hesapları olan departmanlar için mevcut olan aynı düzeyde güvenlik günlüğü sunmadığı da bildirildi. Şirketin müşterileri için bir danışmanlık firması, daha düşük devlet kademesinin bir miktar günlük kaydı sunduğunu, ancak “saldırıyı ortaya çıkarabilecek belirli posta kutusu verilerini takip etmediğini” iddia etti.
FacebooktwitterLinkedin
makalenin sonu