Bir dizi talihsizlik Art arda gelen hatalar, Çin destekli bir bilgisayar korsanlığının, Microsoft’un ABD hükümetinin gelen kutularına neredeyse sınırsız erişim sağlayan e-posta krallığının anahtarlarından birini çalmasına olanak tanıdı. Microsoft bu hafta uzun zamandır beklenen bir blog yazısında bilgisayar korsanlarının soygunu nasıl gerçekleştirdiğini açıkladı. Ancak bir gizem çözülürken, birkaç önemli ayrıntı hala bilinmiyor.
Özetlemek gerekirse Microsoft, Temmuz ayında Çin tarafından desteklendiğine inandığı Storm-0558 adını verdiği bilgisayar korsanlarının, Microsoft’un Outlook.com gibi tüketici e-posta hesaplarını güvence altına almak için kullandığı bir e-posta imzalama anahtarını “elde ettiğini” açıkladı. Bilgisayar korsanları, Microsoft tarafından barındırılan devlet yetkililerinin hem kişisel hem de kurumsal e-posta hesaplarına girmek için bu dijital iskelet anahtarını kullandı. Saldırı, aralarında ABD Ticaret Bakanı Gina Raimondo ve ABD’nin Çin Büyükelçisi Nicholas Burns’ün de bulunduğu ABD hükümet yetkilileri ve diplomatlarının gizli olmayan e-postalarını gözetlemeyi amaçlayan hedefli bir casusluk kampanyası olarak görülüyor.
Bilgisayar korsanlarının tüketici e-posta imzalama anahtarını nasıl elde ettiği Microsoft için bile bir sırdı, ta ki teknoloji devi bu hafta sonunda anahtarın sızmasına yol açan beş ayrı sorunu gecikmeli olarak ortaya koyana kadar.
Microsoft şunları söyledi onun blog yazısı Nisan 2021’de tüketici anahtarı imzalama sürecinin bir parçası olarak kullanılan bir sistemin çöktüğünü söyledi. Çarpışma, daha sonra analiz edilmek üzere sistemin anlık görüntüsünü oluşturdu. Bu tüketici anahtarı imzalama sistemi, çeşitli siber saldırılara karşı savunma amacıyla internet erişiminin engellendiği “son derece izole ve kısıtlı” bir ortamda tutuluyor. Microsoft’un haberi olmadan, sistem çöktüğünde, anlık görüntü görüntüsü yanlışlıkla 1️⃣ tüketici imzalama anahtarının bir kopyasını içeriyordu ancak Microsoft’un sistemleri, anlık görüntü 2️⃣’deki anahtarı tespit edemedi.
Anlık görüntü görüntüsü, sistemin neden çöktüğünü anlamak için “daha sonra izole edilmiş üretim ağından internete bağlı kurumsal ağdaki hata ayıklama ortamımıza taşındı”. Microsoft, bunun standart hata ayıklama süreciyle tutarlı olduğunu, ancak şirketin kimlik bilgisi tarama yöntemlerinin de anlık görüntü görüntüsünde anahtarın varlığını tespit edemediğini söyledi 3️⃣.
Ardından, anlık görüntü görüntüsünün Nisan 2021’de Microsoft’un kurumsal ağına taşınmasından bir süre sonra Microsoft, Storm-0558 bilgisayar korsanlarının, anlık görüntünün bulunduğu hata ayıklama ortamına erişimi olan bir Microsoft mühendisinin kurumsal hesabını “başarılı bir şekilde ele geçirebildiğini” söyledi. tüketici imzalama anahtarını içeren resim saklandı. Microsoft, anahtarın bu şekilde çalındığından tam olarak emin olamayacağını çünkü “bu sızmaya ilişkin spesifik kanıt içeren kayıtlarımız olmadığını” ancak bunun “aktörün anahtarı elde ettiği en olası mekanizma” olduğunu söyledi.
Tüketici imzalama anahtarının çeşitli kuruluşların ve devlet dairelerinin kurumsal ve kurumsal e-posta hesaplarına nasıl erişim sağladığına gelince, Microsoft, e-posta sistemlerinin anahtar doğrulamasını otomatik veya düzgün bir şekilde gerçekleştirmediğini söyledi 4️⃣, bu da Microsoft’un e-posta sisteminin “kurumsal e-posta talebini kabul edeceği” anlamına geliyordu. 5️⃣ şirket, tüketici anahtarıyla imzalanmış bir güvenlik belirteci kullanarak e-posta gönderildiğini söyledi.
Gizem çözüldü? Pek değil
Microsoft’un tüketici imzalama anahtarının muhtemelen kendi sistemlerinden çalındığını kabul etmesi, anahtarın başka bir yerden elde edilmiş olabileceği yönündeki teoriyi sonlandırıyor.
Ancak davetsiz misafirlerin Microsoft’a tam olarak nasıl saldırdığına dair koşullar açık bir soru olmaya devam ediyor. Yorum almak için ulaşıldığında, Microsoft’un kıdemli yöneticisi Jeff Jones, TechCrunch’a mühendisin hesabının “belirteç çalan kötü amaçlı yazılım” kullanılarak ele geçirildiğini söyledi ancak daha fazla yorum yapmayı reddetti.
Kimlik avı veya kötü amaçlı bağlantılar yoluyla yayılabilen, belirteç çalan kötü amaçlı yazılımlar, kurbanın bilgisayarındaki oturum belirteçlerini arar. Oturum belirteçleri, kullanıcıların sürekli olarak bir parolayı yeniden girmeye veya iki faktörlü kimlik doğrulamayla yeniden yetkilendirmeye gerek kalmadan sürekli olarak oturum açmış kalmalarına olanak tanıyan küçük dosyalardır. Bu nedenle, çalınan oturum belirteçleri, saldırgana, kullanıcının şifresine veya iki faktörlü koda ihtiyaç duymadan kullanıcıyla aynı erişimi sağlayabilir.
Bu, Uber çalışanlarının şifrelerini veya oturum belirteçlerini çalmak için kötü amaçlı yazılımlara güvenen Lapsus$ adlı genç bir bilgisayar korsanlığı ekibinin geçen yıl Uber’e gerçekleştirdiği saldırı yöntemine benzer bir saldırı yöntemi. Yazılım şirketi CircleCi de, şirketin kullandığı antivirüs yazılımının bir mühendisin dizüstü bilgisayarındaki token çalan kötü amaçlı yazılımları tespit edememesi üzerine Ocak ayında benzer şekilde ele geçirildi. Bilgisayar korsanlarının güvenliği ihlal edilmiş bir LastPass geliştiricisinin bilgisayarı yoluyla şirketin bulut depolama alanına sızmasının ardından LastPass da müşterilerin şifre kasalarında büyük bir veri ihlali yaşadı.
Microsoft mühendisinin hesabının nasıl ele geçirildiği, ağ savunucularının gelecekte benzer bir olayı önlemesine yardımcı olabilecek önemli bir ayrıntıdır. Mühendisin iş amaçlı kullandığı bilgisayarın güvenliğinin ihlal edilip edilmediği veya bunun Microsoft’un ağında izin verdiği kişisel bir cihaz olup olmadığı belli değil. Her halükarda, uzlaşmanın gerçek suçlularının (yüksek vasıflı da olsa) davetsiz misafirleri engellemede başarısız olan ağ güvenlik politikaları olduğu göz önüne alındığında, bireysel bir mühendise odaklanmak adaletsiz görünüyor.
Açık olan şey, siber güvenliğin neredeyse sınırsız nakit ve kaynaklara sahip kurumsal mega devler için bile inanılmaz derecede zor olduğudur. Microsoft mühendisleri, şirketin en hassas ve kritik sistemleri için korumalar ve savunmalar tasarlarken, bu savunmalar sonuçta başarısız olsa bile, çok çeşitli en karmaşık tehditleri ve siber saldırıları hayal etti ve değerlendirdi. Storm-0558, şirketin ağına sızdığında Microsoft’un e-posta krallığının anahtarlarını bulacağını bilse de, bu tamamen şans ve zamanlama olsa da, bu, siber suçluların genellikle yalnızca bir kez başarılı olmaları gerektiğinin kesin bir hatırlatıcısıdır.
Bu benzersiz ihlali veya koşulları tanımlayacak uygun bir benzetme yok gibi görünüyor. Hem bir banka kasasının güvenliğinden etkilenmek hem de içerideki ganimeti gizlice çalan soyguncuların çabalarını takdir etmek mümkün.
Casusluk kampanyasının tam boyutunun ortaya çıkması biraz zaman alacak ve e-postalarına erişilen diğer kurbanlar henüz kamuya açıklanmadı. Büyük siber güvenlik olaylarından alınan dersleri anlamakla görevli güvenlik uzmanlarından oluşan Siber Güvenlik İnceleme Kurulu, Microsoft e-posta ihlalini araştıracağını ve “bulut tabanlı kimlik ve kimlik doğrulama altyapısıyla ilgili” sorunları daha geniş bir şekilde inceleyeceğini söyledi.