Microsoft Cuma günü, kurumsal sistemlerine yönelik bir ulus devlet saldırısının hedefi olduğunu ve bunun sonucunda üst düzey yöneticilerin ve şirketin siber güvenlik ve hukuk departmanlarındaki diğer kişilerin e-postalarının ve eklerinin çalındığını açıkladı.
Windows üreticisi, saldırıyı Midnight Blizzard (eski adıyla Nobelium) olarak takip ettiği ve aynı zamanda APT29, BlueBravo, Cloaked Ursa, Cozy Bear ve The Dukes olarak da bilinen bir Rus gelişmiş kalıcı tehdit (APT) grubuna bağladı.
Ayrıca, 12 Ocak 2024’te tespit edilmesi üzerine kötü niyetli faaliyeti derhal soruşturmak, engellemek ve azaltmak için adımlar atıldığını söyledi. Kampanyanın Kasım 2023’ün sonlarında başladığı tahmin ediliyor.
“Tehdit aktörü kullandı” şifre sprey saldırısı eski bir üretim dışı test kiracı hesabının güvenliğini ihlal etmek ve bir yer edinmek ve ardından üst düzey liderlik ekibimizin üyeleri ve siber güvenlik, hukuk ve diğer bölümlerimizdeki çalışanlar da dahil olmak üzere Microsoft kurumsal e-posta hesaplarının çok küçük bir yüzdesine erişmek için hesabın izinlerini kullandık Microsoft, bazı e-postaları ve ekli belgeleri sızdırdı” dedi. söz konusu.
Redmond, hedeflemenin niteliğinin, tehdit aktörlerinin kendileriyle ilgili bilgilere erişmeye çalıştıklarını gösterdiğini söyledi. Ayrıca saldırının ürünlerindeki herhangi bir güvenlik açığından kaynaklanmadığını ve saldırganın müşteri ortamlarına, üretim sistemlerine, kaynak koduna veya yapay zeka sistemlerine eriştiğine dair hiçbir kanıt bulunmadığını da vurguladı.
Ancak bilgisayar devi, kaç e-posta hesabına sızıldığını ve hangi bilgilere erişildiğini açıklamadı ancak bunun, olaydan etkilenen çalışanları bilgilendirme süreci olduğunu söyledi.
Daha önce yüksek profilli SolarWinds tedarik zinciri ihlalinden sorumlu olan bilgisayar korsanlığı ekibi, Microsoft’u iki kez seçti; bir kez Aralık 2020’de Azure, Intune ve Exchange bileşenleriyle ilgili kaynak kodunu ele geçirdi ve ikinci kez de Microsoft’un üç bileşenini ihlal etti. Haziran 2021’de müşterilere şifre püskürtme ve kaba kuvvet saldırıları yoluyla.
Microsoft Güvenlik Yanıt Merkezi (MSRC), “Bu saldırı, Midnight Blizzard gibi iyi kaynaklara sahip ulus devlet tehdit aktörlerinin tüm kuruluşlar için oluşturduğu devam eden riskin altını çiziyor” dedi.