Microsoft, Mart ayında, Midnight Blizzard (veya APT29) olarak bilinen Rus hükümet korsanlarının, Microsoft müşterilerine ait veriler de dahil olmak üzere çeşitli bilgileri çalmak amacıyla sistemlerine girdiğini doğruladı.
Aylar sonra Microsoft hala etkilenen müşterilerini bilgilendirme sürecinde ve sürecin pek de iyi gitmediği anlaşılıyor; uzmanlar Microsoft’u spam veya hatta kimlik avı girişimlerine benzeyen e-postalar gönderdiği için eleştiriyor.
Microsoft’un eski çalışanı ve şu anda siber güvenlik araştırmacısı olan ve şirketi yakından takip eden Kevin Beaumont, şirketleri Microsoft’tan gelen bu e-postalara karşı dikkatli olmaları konusunda uyarıyor.
“Microsoft, Rusya’da müşteri verilerini etkileyen bir ihlal yaşadı ve Microsoft 365 müşteri veri ihlali sürecini takip etmedi. Bildirimler portalda değil, bunun yerine kiracı yöneticilerine e-posta gönderdiler.” Beaumont LinkedIn hesabına yazdı. “E-postalar spam’e gidebilir ve kiracı yönetici hesaplarının e-posta olmadan güvenli breakglass hesapları olması gerekir. Ayrıca hesap yöneticileri aracılığıyla kuruluşları bilgilendirmediler. Haziran’a kadar tüm e-postaları kontrol etmek isteyebilirsiniz. Yaygındır.”
Microsoft’un bildirim e-postasındaki temel sorunlardan biri, Microsoft ile görünürde hiçbir bağlantısı olmayan bir etki alanına “güvenli bağlantı” içermesidir. Bunun yerine, e-posta şu bağlantıya sahiptir: “purviewcustomer.powerappsportals.com.”
“Temel olarak, kritik uyarı bir kimlik avı saldırısına benziyor,” bir kişi X’e yazdı.
Bu bağlantı, kötü amaçlı bağlantıları tespit etmeye yardımcı olabilen bir site olan urlscan.io’ya gönderildi. yüzlerce kereden fazlaBu, resmi ve meşru Microsoft e-postasını gören ve bunun kötü amaçlı olduğunu düşünen çok sayıda kuruluş olduğunu gösteriyor.
Bize Ulaşın
Bu Microsoft olayı hakkında daha fazla bilginiz var mı? İş dışı bir cihazdan Lorenzo Franceschi-Bicchierai ile +1 917 257 1382 numaralı telefondan Signal’den veya Telegram, Keybase ve Wire @lorenzofb üzerinden veya e-posta yoluyla güvenli bir şekilde iletişime geçebilirsiniz. Ayrıca TechCrunch ile SecureDrop üzerinden iletişime geçebilirsiniz.
Urlscan.io gönderileri ayrıca Rus hükümetinin Microsoft’a yönelik saldırısından etkilenen en az yüz şirket olduğunu öne sürüyor. ABD siber güvenlik ajansı CISA daha önce Rus hackerların ayrıca birkaç federal ajansın e-postalarını da çaldığını söylemişti.
Beaumont’un uyarılarının dışında, Microsoft müşterilerinin haklı olarak kafalarının karışık olduğuna dair bazı kanıtlar var. Bir Microsoft destek portalında, bir müşteri kuruluşlarının aldığı e-postayı paylaştı Microsoft’a ait gerçek bir e-posta olup olmadığı konusunda netlik kazanmaya çalışıldı.
“Bu e-posta benim için birkaç kırmızı bayrak içeriyor, TenantID ve esasen yönetici veya üst düzey e-posta adresleri talebi, powerapps sayfasının yalın olması ve bu e-postanın başlığıyla veya bununla ilgili hiçbir şey bulamadan hızlı bir Google araması. [sic] içerikler” diye yazdı kişi. “Bunun meşru bir Microsoft e-posta isteği olduğunu doğrulayabilecek var mı?”
Beaumont’un LinkedIn gönderisine yorum yapan bir siber güvenlik danışmanı söz konusu Müşterilerinden “birkaçının” e-postayı aldığını ve “hepsinin bunun bir kimlik avı olduğundan endişe ettiğini” söyledi.
Danışman, “İlk bakışta, bu durum alıcılarda güven uyandırmadı; e-postanın meşru olduğunu doğrulamak için forumlarda soru sormaya veya Microsoft hesap yöneticilerine ulaşmaya başladılar… Bu tür bir sağlayıcının potansiyel olarak etkilenen müşterilere önemli bir sorunu iletmesinin tuhaf bir yolu,” diye yazdı.
TechCrunch’ın kaç kuruluşa bildirimde bulunulduğu veya şirketin etkilenen müşterilere bildirim yapma şeklini değiştirmeyi planlayıp planlamadığı sorulduğunda Microsoft sözcüleri yanıt vermedi.