ABD Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA), Rus hükümeti destekli bilgisayar korsanlarının, Microsoft’a yönelik devam eden bir siber saldırı sonucunda birçok ABD federal kurumundan e-postaları çaldığını doğruladı.
ABD siber ajansı Perşembe günü yayınlanan bir bildiride, Microsoft’un ilk olarak Ocak ayında açıkladığı siber saldırının, bilgisayar korsanlarının “Microsoft kurumsal e-posta hesaplarını başarılı bir şekilde ele geçirerek” federal hükümet e-postalarını çalmasına olanak sağladığını söyledi.
Microsoft’un “Midnight Blizzard” olarak adlandırdığı ve APT29 olarak da bilinen bilgisayar korsanlarının Rusya’nın Dış İstihbarat Servisi (SVR) için çalıştığına inanılıyor.
CISA, “Midnight Blizzard’ın Microsoft kurumsal e-posta hesaplarını başarıyla ele geçirmesi ve ajanslar ile Microsoft arasındaki yazışmaların sızdırılması ajanslar için ciddi ve kabul edilemez bir risk teşkil ediyor” dedi.
Federal siber teşkilat bunu söyledi yeni bir acil durum direktifi yayınladı 2 Nisan’da, Rus bilgisayar korsanlarının saldırılarını artırdığına dair yeni bilgilere dayanarak sivil devlet kurumlarına e-posta hesaplarını güvence altına almak için harekete geçme emri verildi. CISA, etkilenen federal kurumlara şifreleri sıfırlamaları ve etkilenen sistemlerin güvenliğini sağlamaları için bir hafta süre verdikten sonra Perşembe günü acil durum direktifinin ayrıntılarını kamuoyuna açıkladı.
CISA, e-postaları çalınan etkilenen federal kurumların adını vermedi ve CISA sözcüsü TechCrunch’a ulaştığında hemen yorum yapmadı.
Acil durum direktifinin haberi Cyberscoop tarafından ilk kez geçen hafta bildirildi.
Acil durum direktifi, Microsoft’un, rakip ülkelerdeki bilgisayar korsanları tarafından yapılan bir dizi izinsiz girişin ardından güvenlik uygulamalarının giderek daha fazla incelendiği bir dönemde geldi. ABD hükümeti, hükümet e-posta hesaplarını barındırmak için büyük ölçüde yazılım devine güveniyor.
Microsoft Halka açıldı Ocak ayında, Rus bilgisayar korsanlığı grubunun “kıdemli liderlik ekibinin ve siber güvenlik, hukuk ve diğer fonksiyonlarımızdaki çalışanların” e-posta hesapları da dahil olmak üzere bazı kurumsal e-posta sistemlerine sızdığını tespit ettikten sonra. Microsoft, Rus bilgisayar korsanlarının Microsoft ve güvenlik ekiplerinin bilgisayar korsanları hakkında bildikleri hakkında bilgi aradıklarını söyledi. Daha sonra teknoloji devi, bilgisayar korsanlarının Microsoft dışındaki diğer kuruluşları da hedef aldığını söyledi.
Artık etkilenen kuruluşlardan bazılarının ABD devlet kurumlarının da dahil olduğu biliniyor.
Mart ayı itibarıyla Microsoft, şirketin “devam eden bir saldırı” olarak tanımladığı şekilde Rus bilgisayar korsanlarını sistemlerinden çıkarma çabalarını sürdürdüğünü söyledi. İçinde bir blog yazısıŞirket, bilgisayar korsanlarının diğer dahili Microsoft sistemlerine erişmek ve kaynak kodu gibi daha fazla veriyi sızdırmak için başlangıçta çaldıkları “sırları” kullanmaya çalıştıklarını söyledi.
Microsoft, Perşembe günü TechCrunch tarafından şirketin Mart ayından bu yana saldırıyı düzeltme konusunda ne gibi ilerlemeler kaydettiği sorulduğunda hemen yorum yapmadı.
Bu ayın başlarında ABD Siber Güvenlik İnceleme Kurulu (CSRB) soruşturmasını tamamladı 2023’ün başlarında Çin hükümeti destekli bilgisayar korsanlarının gerçekleştirdiği ABD hükümeti e-postalarının ihlaliyle ilgili bir olay. Hükümet temsilcilerinden ve özel sektördeki siber uzmanlardan oluşan bağımsız bir kuruluş olan CSRB, “Microsoft’ta meydana gelen güvenlik arızalarından” sorumluydu. Bunlar, Çin destekli bilgisayar korsanlarının hem tüketici hem de hükümet e-postalarına geniş erişime izin veren hassas bir e-posta anahtarını çalmasına olanak tanıdı.
Şubat ayında ABD Savunma Bakanlığı, 20.000 kişiye, Microsoft tarafından barındırılan bir bulut e-posta sunucusunun 2023’te birkaç hafta boyunca şifresiz bırakılmasının ardından kişisel bilgilerinin internete girdiğini bildirdi.