Microsoft’un yanlış yaptığı şey
DHS Siber Güvenlik İnceleme Kurulu’nun raporu, Çin hack’ini ve Microsoft’un yanıtını en ince ayrıntısına kadar ortaya koyuyor ve bu saldırının ne anlama geldiğini ortaya koyuyor. Washington Post aramalar Microsoft’un “kalitesiz siber güvenlik uygulamaları, gevşek kurumsal kültürü ve kasıtlı şeffaflık eksikliği.”
Saldırı, Çin’in en güçlü casusluk servisi olan Devlet Güvenlik Bakanlığı’nın emirlerini yerine getiren Storm-0558 hack grubu tarafından tasarlandı. Storm-0558’in devlet kurumlarına ve özel şirketlere yönelik casuslukla ilgili hacklemeleri gerçekleştirme konusunda 2000 yılına kadar uzanan bir geçmişi var. Şu ana kadar en bilineni şuydu: Aurora Operasyonu2010 yılında Google tarafından gün ışığına çıkarıldı. Dış İlişkiler Konseyi bu saldırıyı “siber operasyonların yakın tarihinde bir dönüm noktası, çünkü siber operasyonların endüstriyel casusluk aracı olarak profilini yükseltti” olarak nitelendirdi.
DHS raporuna göre en son saldırı, Storm-0558’in Microsoft’un 2016’da yayınladığı “Microsoft Hizmetler Hesabı (MSA)17 şifreleme anahtarını” ele geçirmesinden sonra gerçekleşti. Storm-0558, anahtarı kullanarak kullanıcı kimlik bilgilerini taklit etti ve bunları devlet hesaplarına giriş yapmak ve Raimondo, Burns, Bacon ve diğerlerinin e-postalarını çalmak için kullandı.
Çözülmemiş başka gizemler de var. Anahtarın yalnızca Outlook Web Access’in (OWA) tüketici sürümü için kimlik bilgileri oluşturması gerekirken Storm-0558, bunu hükümetin kullandığı Enterprise Exchange Online için kimlik bilgileri oluşturmak için kullandı. Microsoft bunun nasıl yapılabileceğini açıklayamıyor.
Daha kötüsü var. Bu 2016 anahtarının 2021’de kullanımdan kaldırılması gerekiyordu, ancak Microsoft bunu asla yapmadı çünkü şirket, tüketici anahtarlarını daha güvenli hale getirme konusunda sorun yaşadı. Böylece anahtar ve muhtemelen ona benzeyen pek çok anahtar her zamanki kadar güçlü kaldı. Ve Storm-0558 kirli işini onunla yaptı.
Bu olaylar dizisi; kullanımdan kaldırılması gereken bir anahtarın aktif kalmasına izin verildi, anahtarın Storm-0558 tarafından çalınması anahtarı çaldı ve ardından Storm-0558’in bunu kurumsal e-posta hesaplarına erişim sağlamak amacıyla kimlik bilgilerini taklit etmek için kullanma yeteneği Anahtarın bunu yapmalarına izin vermemesi gerektiği halde üst düzey hükümet yetkilileri tarafından kullanılan bu durum, DHS’nin Microsoft’un işlediğini söylediği “hatalar dizisini” temsil ediyor.
