Cuma günü Microsoft, Rus hükümeti casusları tarafından gerçekleştirilen bir hacklemenin kurbanı olduğunu açıkladı. Şimdi, bir hafta sonra teknoloji devi, casusluk operasyonunun tek hedefinin kendisi olmadığını söyledi.
Yeni bir blog yazısındaMicrosoft, “aynı aktörün diğer kuruluşları da hedef aldığını ve olağan bildirim süreçlerimizin bir parçası olarak bu hedeflenen kuruluşları bilgilendirmeye başladık” dedi.
Şu anda Rusya destekli hackerların kaç kurumu hedef aldığı belli değil.
Bize Ulaşın
Bu hack hakkında daha fazla bilginiz var mı? Sizden haber almayı çok isteriz. Çalışmayan bir cihazdan, +1 917 257 1382 numaralı telefondan Signal üzerinden veya Telegram, Keybase ve Wire @lorenzofb aracılığıyla veya [email protected] adresine e-posta göndererek Lorenzo Franceschi-Bicchierai ile güvenli bir şekilde iletişime geçebilirsiniz. TechCrunch’a SecureDrop aracılığıyla da ulaşabilirsiniz.
TechCrunch’ın şu ana kadar bildirdiği kurbanların sayısını belirtmesi istendiğinde Microsoft sözcüsü yorum yapmaktan kaçındı.
Microsoft, bilgisayar korsanlarını çağırdığı grup olarak tanımladı Gece yarısı kar fırtınası. Bu grubun Rusya’nın Dış İstihbarat Servisi (SVR) için çalıştığına inanılıyor. Diğer güvenlik şirketleri grubu arıyor APT29 ve Rahat Ayı.
Microsoft, izinsiz girişi 12 Ocak’ta tespit ettiğini söyledi ve ardından bilgisayar korsanlığı kampanyasının, bilgisayar korsanlarının çok faktörlü kimlik doğrulamanın etkin olmadığı eski bir sistemde “şifre püskürtme saldırısı” kullandığı Kasım ayı sonlarında başladığını tespit etti. Parola püskürtme, bilgisayar korsanlarının hesaplara kaba kuvvetle erişmeye çalışmak yaygın olarak kullanılan şifreleri veya geçmiş veri ihlallerinden kalma daha geniş bir şifre listesini kullanmak.
Microsoft, en son blog yazısında, “Aktör, tespitten kaçınmak ve hataların hacmine bağlı olarak hesap blokajlarından kaçınmak için az sayıda girişimde bulunarak şifre sprey saldırılarını sınırlı sayıda hesaba uyarladı” diye yazdı. “Tehdit aktörü, bu saldırıları dağıtılmış bir konut proxy altyapısından başlatarak keşfedilme olasılığını daha da azalttı. Bu kaçınma teknikleri, aktörün faaliyetlerini gizlemesine ve saldırıyı başarılı olana kadar zaman içinde sürdürebilmesine yardımcı oldu.”
Microsoft’a göre, Rus destekli bilgisayar korsanları bu eski sistemdeki bir hesaba erişim sağladıktan sonra, “hesabın izinlerini Microsoft kurumsal e-posta hesaplarının çok küçük bir yüzdesine erişmek için kullandılar”. Microsoft, kaç e-posta hesabının ele geçirildiğini henüz belirtmedi. .
Ancak Microsoft, bilgisayar korsanlarının özellikle şirketin üst düzey yöneticilerinin yanı sıra siber güvenlik, hukuk ve diğer departmanlarda çalışan kişileri hedef aldığını söyledi. Bilgisayar korsanları “bazı e-postaları ve ekli belgeleri” çalmayı başardılar.
Şirket, bilgisayar korsanlarının ilginç bir şekilde kendileri hakkında bilgi edinmekle, özellikle de Microsoft’un onlar hakkında bildiklerini öğrenmekle ilgilendiklerini söyledi.
Perşembe günü Hewlett Packard Enterprise (HPE), Microsoft tarafından barındırılan e-posta sisteminin Midnight Blizzard tarafından saldırıya uğradığını açıkladı. HPE, ihlalin kendisine kim tarafından bildirilmeden 12 Aralık’ta bildirildiğini söyledi. Şirket, kendi soruşturmasına göre, bilgisayar korsanlarının Mayıs 2023’ten itibaren HPE posta kutularının “küçük bir yüzdesinden” “verilere erişip bunları sızdırdığını” söyledi.
Bu ihlalin bilgisayar korsanlarının Microsoft’u hedef alan casusluk kampanyasıyla nasıl bağlantılı olduğu veya olup olmadığı belli değil; HPE, olayın aynı bilgisayar korsanlarının ağından “sınırlı sayıda SharePoint dosyası” sızdırdığı daha önceki bir izinsiz girişle bağlantılı olduğunu söyledi.
HPE sözcüsü Adam R. Bauer, TechCrunch’a şunları söyledi: “Microsoft’un geçen hafta yaşadığı ve açıkladığı olayın ayrıntılarına sahip değiliz, bu nedenle şu anda ikisini birbirine bağlayamıyoruz.”
Microsoft’un yorum yapmayı reddetmesiyle güncellendi.