Salı günü Microsoft açıklığa kavuşmuş gizli verileri elde etmek için tasarlanmış bir siber casusluk kampanyasında, bazıları devlet kurumlarının da dahil olduğu iki düzine kuruluşu hedef alan bir Çinli ulus-devlet aktörü tarafından düzenlenen bir siber saldırıyı püskürttüğünü söyledi.
15 Mayıs 2023’te başlayan saldırılar, yaklaşık 25 kuruluşu ve az sayıda ilgili bireysel tüketici hesabını etkileyen e-posta hesaplarına erişim gerektirdi.
Teknoloji devi, kampanyayı Storm-0558’e bağladı ve bunu, esas olarak Batı Avrupa’daki devlet kurumlarını öne çıkaran Çin merkezli bir ulus-devlet faaliyet grubu olarak tanımladı.
Microsoft, “Casusluk, veri hırsızlığı ve kimlik bilgilerine erişime odaklanıyorlar” söz konusu. “Ayrıca, kimlik bilgilerine erişim için Microsoft’un Cigril ve Bling olarak izlediği özel kötü amaçlı yazılımları kullandıkları da biliniyor.”
İhlalin bir ay sonra 16 Haziran 2023’te kimliği belirsiz bir müşterinin anormal e-posta etkinliğini şirkete bildirmesinin ardından tespit edildiği söyleniyor.
Microsoft, tüm hedeflenen veya güvenliği ihlal edilmiş kuruluşları doğrudan kiracı yöneticileri aracılığıyla bilgilendirdiğini söyledi. Etkilenen kurum ve kuruluşların adları ile saldırıya uğramış olabilecek hesapların sayısı belirtilmedi.
Ancak Washington Post’a göre saldırganlar da içine girdi bir dizi sınıflandırılmamış ABD e-posta hesabı.
Redmond’a göre müşteri e-posta hesaplarına erişim, kimlik doğrulama belirteçleri oluşturarak Exchange Online (OWA) ve Outlook.com’daki Outlook Web Access aracılığıyla kolaylaştırıldı.
“Oyuncu edinilmiş bir MSA anahtarı MSA (tüketici) anahtarları ve Azure AD (kurumsal) anahtarları ayrı sistemlerden verilir ve yönetilir ve yalnızca kendi sistemleri için geçerli olmalıdır.”
“Aktör, Azure AD kullanıcılarının kimliğine bürünmek ve kurumsal postaya erişim elde etmek için bir belirteç doğrulama sorunundan yararlandı.”
İçeriden Gelen Tehditlere Karşı Kalkan: SaaS Güvenlik Duruş Yönetiminde Ustalaşın
İçeriden gelen tehditler konusunda endişeli misiniz? Seni koruduk! SaaS Güvenlik Duruş Yönetimi ile pratik stratejileri ve proaktif güvenliğin sırlarını keşfetmek için bu web seminerine katılın.
Tehdit aktörünün saldırıları gerçekleştirmek için Azure AD anahtarlarını veya başka herhangi bir MSA anahtarını kullandığına dair bir kanıt yoktur. Microsoft, o zamandan beri saldırıyı azaltmak için OWA’da edinilen MSA anahtarıyla imzalanan belirteçlerin kullanımını engelledi.
Microsoft Security’den sorumlu başkan yardımcısı Charlie Bell, “Bu tür casusluk güdümlü düşman, kimlik bilgilerini kötüye kullanmayı ve hassas sistemlerde bulunan verilere erişmeyi amaçlıyor” dedi. söz konusu.
Açıklama, Microsoft’un ABD’yi hedef alan Volt Typhoon (namı diğer Bronze Silhouette veya Vanguard Panda) adlı bir Çinli hasım topluluğu tarafından düzenlenen kritik altyapı saldırılarını ifşa etmesinden bir aydan uzun bir süre sonra geldi.
