Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA), 11 Nisan’da bir acil durum direktifi yayınladı. Gece yarısı kar fırtınasıdiğer adıyla Cosy Bear, son kampanyasında Microsoft e-posta hesaplarını hedef alan Rus devlet destekli bir tehdit aktörüdür.
Grup bilgi sızdırıyor Microsoft kurumsal e-posta sistemleri Microsoft müşteri sistemlerine erişim kazanmak için. Microsoft ve CISA, şu ana kadar hangi şirketlerin yazışmalarının sızdırıldığını zaten belirledi ve onları buna göre bilgilendirdi.
Trellix’in tehdit istihbaratı başkanı John Fokker e-postayla yaptığı açıklamada, “Midnight Blizzard saldırısının ilk erişim vektörü Microsoft 365 şifre spreyiydi” dedi. Trellix’teki araştırmacılar yalnızca yılın ilk çeyreğinde bu tür saldırılardan 120’den fazlasını gözlemledi.
CISA’nın yönergesi ilk olarak 2 Nisan’da yalnızca federal kurumlara yayınlanmıştı. Bu yönerge, kurumların Microsoft e-posta hesaplarını gözlemleyip analiz ederek etkilenip etkilenmediklerini belirlemelerini, ele geçirilen kimlik bilgilerini sıfırlamalarını ve ayrıcalıklı Microsoft Azure hesaplarını güvence altına almalarını gerektiriyordu.
Bu gereksinimler yalnızca Federal Sivil Yürütme Organı (FCEB) kurumları için geçerlidir çünkü bunlar Midnight Blizzard’ın en büyük hedefi gibi görünmektedir. Ancak CISA, başka kuruluşlarla da temasa geçilmiş olabileceğini ve yardım istemeleri gerektiğini belirtiyor.
CISA, “Doğrudan etkisi ne olursa olsun, tüm kuruluşların güçlü şifreler, çok faktörlü kimlik doğrulama (MFA) ve korunmasız hassas bilgilerin güvenli olmayan kanallar aracılığıyla paylaşılmasının yasaklanması dahil olmak üzere sıkı güvenlik önlemlerini uygulamaları şiddetle teşvik edilmektedir.” dedi. açıklamasında.
CISA’nın direktörü Jen Easterly, Microsoft’un bu ihlalinin Rusya’nın taktik kitabındaki en son kötü amaçlı siber faaliyet olduğunu ve acil durum direktifinin federal sivil kurumların ağlarının ve sistemlerinin güvenli olmasını sağlamayı amaçladığını da belirtti.