ABD Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA) perşembe günü bir acil durum direktifi (ED 24-02) yayınladı ve federal kurumları uzlaşma işaretlerini takip etmeye ve e-posta yazışmalarının çalınmasına yol açan Microsoft sistemlerinin yakın zamanda ele geçirilmesinin ardından önleyici tedbirler almaya çağırdı. Firmayla beraber.
Bu yılın başlarında ortaya çıkan saldırının Midnight Blizzard (diğer adıyla APT29 veya Cozy Bear) olarak takip edilen bir Rus ulus devlet grubuna atfedildiği düşünülüyor. Geçen ay Microsoft, saldırganın bazı kaynak kod depolarına erişmeyi başardığını açıklamış ancak müşteriye yönelik sistemlerde herhangi bir ihlal olduğuna dair hiçbir kanıt bulunmadığını belirtmişti.
İlk olarak federal kurumlara özel olarak 2 Nisan’da yayınlanan acil durum direktifi, ilk rapor edildi iki gün sonra CyberScoop tarafından yayınlandı.
CISA, “Tehdit aktörü, Microsoft müşteri sistemlerine ek erişim kazanmak veya elde etmeye çalışmak için, Microsoft müşterileri ile Microsoft arasında e-posta yoluyla paylaşılan kimlik doğrulama ayrıntıları da dahil olmak üzere, başlangıçta kurumsal e-posta sistemlerinden sızan bilgileri kullanıyor.” söz konusu.
Ajans, devlet kurumları ile Microsoft arasındaki e-posta yazışmalarının çalınmasının ciddi riskler oluşturduğunu belirterek, ilgili tarafları sızdırılan e-postaların içeriğini analiz etmeye, ele geçirilen kimlik bilgilerini sıfırlamaya ve ayrıcalıklı Microsoft Azure hesapları için kimlik doğrulama araçlarının güvenli olduğundan emin olmak için ek adımlar atmaya çağırdı.
Şu anda olayın ardından kaç federal kurumun e-posta alışverişlerinin sızdırıldığı belli değil, ancak CISA hepsine bilgi verildiğini söyledi.
Ajans ayrıca etkilenen kuruluşlara 30 Nisan 2024 tarihine kadar bir siber güvenlik etki analizi gerçekleştirmeleri ve 1 Mayıs 2024 saat 23:59’a kadar bir durum güncellemesi sunmaları konusunda çağrıda bulunuyor. İhlalden etkilenen diğer kuruluşların ilgili Microsoft hesaplarıyla iletişime geçmeleri tavsiye ediliyor. Ek sorularınız veya takipleriniz için ekiple iletişime geçin.
CISA, “Doğrudan etkisi ne olursa olsun, tüm kuruluşların güçlü şifreler, çok faktörlü kimlik doğrulama (MFA) ve korunmasız hassas bilgilerin güvenli olmayan kanallar aracılığıyla paylaşılmasının yasaklanması dahil olmak üzere sıkı güvenlik önlemlerini uygulamaları şiddetle teşvik edilmektedir.” dedi.
Gelişme CISA olarak geliyor piyasaya sürülmüş kötü amaçlı yazılım analiz sisteminin yeni bir sürümü Yeni Nesil Kötü Amaçlı Yazılımkuruluşların kötü amaçlı yazılım örnekleri göndermesine olanak tanır (anonim olarak veya başka türlü) ve diğer şüpheli nesneleri analiz için saklayabilirsiniz.