Microsoft geçen hafta, SolarWinds saldırısının arkasında yer alan Rus devleti destekli bilgisayar korsanlarının kurumsal sistemlerine yönelik bir ulus devlet saldırısı keşfettiğini açıklamıştı. Bilgisayar korsanları, Microsoft’un üst düzey liderlik ekibinin bazı üyelerinin e-posta hesaplarına erişmeyi başardı; potansiyel olarak haftalarca veya aylarca onları gözetlediler.
Microsoft, Cuma günü geç saatlerde yaptığı ilk SEC açıklamasında saldırganların nasıl erişim elde ettiğine dair pek fazla ayrıntı sunmasa da, yazılım üreticisi artık ilk analizi yayınladı Bilgisayar korsanlarının güvenliğini nasıl aştığını anlattı. Aynı zamanda, Nobelium veya Microsoft’un hava durumu temalı “Midnight Blizzard” olarak adlandırdığı aynı hack grubunun diğer kuruluşları da hedef aldığı konusunda uyarıda bulunuyor.
Nobelium başlangıçta Microsoft’un sistemlerine parola sprey saldırısı yoluyla erişti. Bu tür saldırı, bilgisayar korsanlarının hesaplara karşı potansiyel şifrelerden oluşan bir sözlüğü kullandığı kaba kuvvet saldırısıdır. Daha da önemlisi, ihlal edilen üretim testi dışı kiracı hesabında iki faktörlü kimlik doğrulama etkin değildi. Microsoft, Nobelium’un “parola püskürtme saldırılarını sınırlı sayıda hesaba uyarladığını ve tespitten kaçınmak için az sayıda girişimde bulunduğunu” söylüyor.
Bu saldırıdan sonra grup, “Microsoft kurumsal ortamına yüksek erişime sahip olan eski bir test OAuth uygulamasını tespit etmek ve tehlikeye atmak için ilk erişimlerinden yararlandı.” OAuth, belirteç tabanlı kimlik doğrulama için yaygın olarak kullanılan açık bir standarttır. Bir web sitesine şifrenizi vermenize gerek kalmadan uygulamalarda ve hizmetlerde oturum açmanıza olanak sağlamak için web genelinde yaygın olarak kullanılır. Gmail hesabınızla oturum açabileceğiniz web sitelerini düşünün; işte bu OAuth’tur.
Bu yükseltilmiş erişim, grubun daha fazla kötü amaçlı OAuth uygulaması oluşturmasına ve Microsoft’un kurumsal ortamına ve nihayetinde e-posta gelen kutularına erişim sağlayan Office 365 Exchange Online hizmetine erişmek için hesaplar oluşturmasına olanak tanıdı.
Microsoft’un güvenlik ekibi şöyle açıklıyor: “Midnight Blizzard, Microsoft Exchange Online’da kimlik doğrulaması yapmak ve Microsoft kurumsal e-posta hesaplarını hedeflemek için bu kötü amaçlı OAuth uygulamalarından yararlandı.”
Microsoft, kurumsal e-posta hesaplarından kaçının hedeflendiğini ve erişildiğini açıklamadı ancak şirket daha önce bunu “Microsoft kurumsal e-posta hesaplarının çok küçük bir yüzdesi” olarak tanımlamıştı; buna üst düzey liderlik ekibimizin üyeleri ve siber güvenlik, hukuk, ve diğer işlevler.”
Microsoft ayrıca bilgisayar korsanlarının üst düzey liderlik ekibi ve diğer çalışanları hakkında ne kadar süredir casusluk yaptığına dair kesin bir zaman çizelgesini hala açıklamadı. İlk saldırı Kasım 2023’ün sonlarında gerçekleşti, ancak Microsoft bunu ancak 12 Ocak’ta keşfetti. Bu, saldırganların yaklaşık iki ay boyunca Microsoft yöneticilerini gözetlediği anlamına gelebilir.
Hewlett Packard Enterprise (HPE) bu hafta başında açıklandı aynı hacker grubunun daha önce de “bulut tabanlı e-posta ortamına” erişim elde ettiğini söyledi. HPE sağlayıcının adını vermedi ancak şirket, olayın “muhtemelen sınırlı sayıda verinin sızmasıyla ilgili” olduğunu açıkladı. [Microsoft] SharePoint dosyaları Mayıs 2023 gibi erken bir tarihte.”
Microsoft’a yönelik saldırı, şirketin büyük Azure bulut saldırılarının ardından yazılım güvenliğini elden geçirme planını duyurmasından birkaç gün sonra gerçekleşti. Bu, Microsoft Exchange Server’daki bir kusur nedeniyle 2021’de 30.000 kuruluşun e-posta sunucularının saldırıya uğramasının ve Çinli bilgisayar korsanlarının geçen yıl bir Microsoft bulut istismarı yoluyla ABD hükümetinin e-postalarını ihlal etmesinin ardından Microsoft’u etkileyen en son siber güvenlik olayıdır. Microsoft, yaklaşık üç yıl önce, bu utanç verici yönetici e-posta saldırısının arkasında aynı Nobelium grubu tarafından gerçekleştirilen dev SolarWinds saldırısının da merkezinde yer alıyordu.
Microsoft’un, açıkça önemli bir test hesabı olan bir hesapta iki faktörlü kimlik doğrulamanın bulunmadığını kabul etmesi, siber güvenlik camiasında büyük olasılıkla şüphe uyandıracaktır. Bu bir Microsoft yazılımı güvenlik açığı olmasa da, bilgisayar korsanlarının Microsoft’un kurumsal ağında sessizce hareket etmesine olanak tanıyan, kötü yapılandırılmış bir dizi test ortamıydı. “Üretim dışı bir test ortamı, Microsoft’un en üst düzey yetkililerinin tehlikeye atılmasına nasıl yol açar?” diye sordu CrowdStrike CEO’su George Kurtz. CNBC’yle röportaj bu haftanın başlarında. “Sanırım bu konuda ortaya çıkacak çok daha fazlası var.”
Kurtz haklıydı, daha fazlası ortaya çıktı ama hâlâ bazı önemli ayrıntılar eksik. Microsoft, aynı üretim dışı test ortamının bugün konuşlandırılması durumunda, bu saldırılara karşı daha iyi koruma sağlamak için “zorunlu Microsoft politikası ve iş akışlarının MFA’nın ve aktif korumalarımızın etkinleştirilmesini sağlayacağını” iddia ediyor. Microsoft’un, özellikle de müşterilerinin, güvenlik tehditlerine karşı daha iyi koruma sağlamak için yazılım ve hizmetlerini tasarlama, oluşturma, test etme ve çalıştırma biçimini gerçekten geliştirdiğine inanmasını istiyorsa, yapması gereken daha çok açıklama var.
