Başka bir gün, Microsoft teknolojisinin başka bir saldırısı. Ho-hum, bunun daha önce de olduğunu ve yine olacağını düşünebilirsiniz; güneşin sabah doğup akşam batması kadar kesin.
Bu sefer farklı. Çünkü bu sefer Hedefler Microsoft müşterileri değil, Microsoft’un en üst kademeleriydi. Ve Midnight Blizzard, bazen de Cozy Bear, Dukes veya APT 29 olarak adlandırılan hacker grubu, Rusya Dış İstihbarat Servisi tarafından desteklenmektedir (ve en az 2008’den beri öyle).
Ve bu sefer hack, federal hükümeti Microsoft ve Windows’un devam eden güvenlik açıklarına karşı nihayet daha sert bir tavır almaya ikna edebilir.
Nedenini anlamak için hack’in kendisine bakarak başlayalım.
Basit, temel bir hile ile hacklendi
Midnight Blizzard, gelişmiş siber saldırı yetenekleriyle tanınmaktadır. Solar Winds tedarik zinciri saldırısı Ağ ve altyapı izleme için kullanılan sistem yönetimi araçları sunan ve Solar Winds yazılımına kötü amaçlı yazılım yerleştiren şirkete sızdı. Bu kötü amaçlı yazılım daha sonra şirketin binlerce müşterisine dağıtıldı; bunların arasında ABD Savunma Bakanlığı, İç Güvenlik Bakanlığı ve Hazine Bakanlığı dahil sekiz veya daha fazla federal kurum ve Intel, Cisco ve Palo dahil teknoloji ve güvenlik firmaları yer alıyor. Alto Ağları.
Microsoft Hack’in “tarihin en karmaşık ulus devlet siber saldırısı” olduğunu söyledi.Saldırı aynı zamanda Demokratik Ulusal Komite sunucularına sızmayı, e-postaları ve belgeleri çalmayı ve bunları kamuya açık hale getirmeyi de kapsıyordu.
Ancak bu sefer Midnight Blizzard’ın karmaşık bir hackleme aracı geliştirmesine gerek kalmadı. Microsoft’a saldırmak için en temel bilgisayar korsanlığı hilelerinden biri olan “şifre püskürtme”yi kullandı. İçinde bilgisayar korsanları, birinin onlara erişim vermesini umarak yaygın olarak kullanılan şifreleri sayısız rastgele hesaba yazıyor. Bu erişime sahip olduklarında, ağda dolaşmakta, diğer hesaplara sızmak, e-postaları ve belgeleri çalmak ve daha fazlasını yapmakta özgürdürler.
Bir blog yazısındaMicrosoft, Midnight Blizzard’ın şifre püskürtme kullanarak eski bir test hesabına sızdığını ve ardından hesabın izinlerini kullanarak “Üst düzey liderlik ekibimizin üyeleri ve siber güvenlik, hukuk ve diğer fonksiyonlarımızdaki çalışanlar da dahil olmak üzere Microsoft kurumsal e-posta hesaplarına” erişim sağladığını söyledi. e-postaları ve bunlara eklenen belgeleri çalmak.
Şirket, bilgisayar korsanlarının başlangıçta Midnight Blizzard hakkındaki bilgileri hedeflediğini ve “şu ana kadar tehdit aktörünün müşteri ortamlarına, üretim sistemlerine, kaynak koduna veya yapay zeka sistemlerine erişimi olduğuna dair hiçbir kanıt bulunmadığını” iddia ediyor.
Şirket, sanki müşterilere güvence vermek istercesine şunu kaydetti: “Saldırı, Microsoft ürünleri veya hizmetlerindeki bir güvenlik açığının sonucu değildi.”
Bu kimseye güven vermemeli. Midnight Blizzard başarılı oldu çünkü Microsoft iki temel siber güvenlik kuralını ihlal etti: Tüm hesapların güçlü parolalar kullandığından emin olun ve kullanılmayan tüm hesapları kapatın. Şirket bu kadar basit kurallara uyamıyorsa müşterilerini bilgisayar korsanlığına karşı koruma konusunda ona güvenilip güvenilemeyeceğini merak edebilirsiniz.
Ve Microsoft’un Midnight Blizzard’ın erişimini müşterilerinin ağlarına sızmak veya daha da korkutucusu yapay zeka sistemlerine girmek için kullanmadığına dair söz vermediğini unutmayın. Sadece “bugüne kadar” buna dair hiçbir kanıt bulunmadığını ve halen soruşturmaya devam edildiğini söyledi.
Neden bu sadece morarmış bir gözden daha fazlası?
Hack, özellikle de bu kadar kolay gerçekleştirildiği için Microsoft’un gözünü kararttı. Ama durum daha da kötü. Bu, federalleri o kadar kızdıran ve Microsoft’un güvenlik protokollerini araştıran Microsoft teknolojilerine yönelik bir dizi yüksek profilli saldırının ardından geldi.
Washington Post yazıyor: “Hükümet yetkilileri ve dışarıdan güvenlik uzmanları, zayıf kimlik doğrulama gerekliliklerini, test hesaplarını ve yeni hesap oluşturma kolaylığını Microsoft hizmet korumalarındaki büyük boşluklar olarak defalarca dile getirdiler…. Cuma günkü açıklama aynı zamanda İç Güvenlik Bakanlığı’nın siber güvenlik inceleme kurulunun ve diğerlerinin Microsoft güvenliğinde Çin hükümetinin bilgisayar korsanlarının geçen yıl iki ülke arasındaki zirve öncesinde üst düzey ABD’li diplomatlardan gizli olmayan e-postaları çalmasına izin veren açıklara ilişkin soruşturmaları sırasında geldi.”
Geçen yıl Carnegie Mellon Üniversitesi’nde yapılan bir konuşmada, Siber Güvenlik ve Altyapı Güvenliği Ajansı Direktörü Jen Easterly, Microsoft’u eleştirdi çünkü kurumsal müşterilerinin yalnızca dörtte biri çok faktörlü kimlik doğrulamayı kullanıyor. Federal yetkililerin kamuya açık olarak şirketleri bu şekilde hedef alması son derece nadirdir.
Hemen hemen aynı sıralarda Biden Yönetimi, teknoloji firmalarını ve özel sektörü, yeni bulunan güvenlik açıklarıyla mücadele etmek için yama sistemleri gibi en iyi güvenlik uygulamalarını takip etmeye ve mümkün olduğunda çok faktörlü kimlik doğrulamayı kullanmaya çağıran yeni bir Ulusal Siber Güvenlik Stratejisi yayınladı.
Eşlik eden bir bilgi notu şu uyarıda bulunuyor: “Zayıf yazılım güvenliği, dijital ekosistemdeki sistemik riski büyük ölçüde artırıyor ve nihai maliyeti Amerikan vatandaşlarına bırakıyor. Sorumluluğu, yazılımlarının güvenliğini sağlamak için makul önlemleri almayan kuruluşlara yüklemeye başlamalıyız.”
Bu son Microsoft saldırısı, bu stratejiyi ihlal etmenin ders kitabı niteliğindeki bir örneği gibi görünüyor. Ancak strateji, eğer dişlere sahip olmak için yasama eylemi gerektiriyor ve iş teknolojinin düzenlenmesine gelince, Kongre kesinlikle müdahale etmiyor. Şu anda, stratejiyi ihlal etmek size parmak sallayarak “ayıptır” demekten biraz daha fazlasını kazandırıyor gibi görünüyor.
Bu hareketsizliğin sonsuza kadar sürmesi muhtemel değildir. Hem Cumhuriyetçiler hem de Demokratlar teknoloji şirketlerini en son kırbaçlanan çocukları haline getirdi. Ve Microsoft, federal sözleşmelerden milyarlarca dolar alanBulut güvenliğini iyileştirmek için harcanan 150 milyon dolar da dahil olmak üzere, en basit siber güvenlik önlemlerine bile uymaması durumunda sözleşmelerinden bazılarının iptal edilmesi söz konusu olabilir. (Sen. Ron Wyden (D-OR), zaten bunu yapabileceğini tehdit etmişti.)
Microsoft’un bu son saldırısı, Kongre’nin nihayet harekete geçmesini sağlayan şey olabilir.
Telif Hakkı © 2024 IDG Communications, Inc.