Microsoft Cuma günü, Kremlin destekli tehdit aktörünün Gece yarısı kar fırtınası (diğer adıyla APT29 veya Cozy Bear), Ocak 2024’te ortaya çıkan bir saldırının ardından bazı kaynak kodu depolarına ve dahili sistemlerine erişmeyi başardı.
Teknoloji devi, “Son haftalarda Midnight Blizzard’ın kurumsal e-posta sistemlerimizden sızan bilgileri yetkisiz erişim elde etmek veya elde etmeye çalıştığına dair kanıtlar gördük” dedi. söz konusu.
“Bu, şirketin bazı kaynak kodu depolarına ve dahili sistemlerine erişimi de içeriyor. Bugüne kadar, Microsoft tarafından barındırılan, müşteriye yönelik sistemlerin güvenliğinin ihlal edildiğine dair hiçbir kanıt bulamadık.”
İhlalin kapsamını araştırmaya devam eden Redmond, Rus devleti destekli tehdit aktörünün, müşteriler ile Microsoft arasında e-posta yoluyla paylaşılanlar da dahil olmak üzere bulduğu farklı türdeki sırlardan yararlanmaya çalıştığını söyledi.
Ancak şirket, bu sırların ne olduğunu veya uzlaşmanın boyutunu açıklamadı ancak etkilenen müşterilere doğrudan ulaştığını belirtti. Hangi kaynak koduna erişildiği belli değil.
sahip olduğunu belirten güvenlik yatırımlarını artırdıMicrosoft ayrıca, saldırganın Ocak ayında gözlemlenen “zaten büyük hacim” ile karşılaştırıldığında, Şubat ayında şifre sprey saldırılarını 10 kata kadar artırdığını belirtti.
“Midnight Blizzard’ın devam eden saldırısı, tehdit aktörünün kaynaklarına, koordinasyonuna ve odağına sürekli ve önemli bir bağlılıkla karakterize ediliyor” dedi.
“Saldırılacak alanların bir resmini toplamak ve bunu yapma yeteneğini geliştirmek için elde ettiği bilgileri kullanıyor olabilir. Bu, özellikle karmaşık ulus devlet saldırıları açısından, daha geniş anlamda benzeri görülmemiş bir küresel tehdit manzarası haline gelen durumu yansıtıyor.”
Microsoft ihlalinin Kasım 2023’te Midnight Blizzard’ın, çok faktörlü kimlik doğrulamanın (MFA) etkin olmadığı eski, üretim dışı test kiracı hesabına başarılı bir şekilde sızmak için parola püskürtme saldırısı kullanmasıyla gerçekleştiği söyleniyor.
Teknoloji devi, Ocak ayı sonlarında APT29’un, çalınan kimlik bilgilerinden tedarik zinciri saldırılarına kadar çeşitli ilk erişim yöntemlerinden yararlanarak diğer kuruluşları hedef aldığını ortaya çıkardı.
Midnight Blizzard, Rusya’nın Dış İstihbarat Servisi’nin (SVR) bir parçası olarak kabul ediliyor. En az 2008’den beri aktif olan tehdit aktörü, SolarWinds gibi yüksek profilli hedefleri tehlikeye atan en üretken ve en gelişmiş bilgisayar korsanlığı gruplarından biridir.