ABD’de adı açıklanmayan bir Federal Sivil Yürütme Şubesi (FCEB) teşkilatı, 2023 yılının Haziran ayı ortalarında anormal e-posta etkinliği tespit etti ve bu, Microsoft’un iki düzine kuruluşu hedef alan Çin bağlantılı yeni bir casusluk kampanyası keşfetmesine yol açtı.
Ayrıntılar, ABD Siber Güvenlik ve Altyapı Güvenliği Teşkilatı (CISA) ve Federal Soruşturma Bürosu (FBI) tarafından 12 Temmuz 2023’te yayınlanan ortak bir siber güvenlik danışma belgesinden geliyor.
Yetkililer, “Haziran 2023’te bir Federal Sivil Yürütme Şubesi (FCEB) kurumu, Microsoft 365 (M365) bulut ortamında şüpheli etkinlik tespit etti” dedi. “Microsoft, gelişmiş kalıcı tehdit (APT) aktörlerinin sınıflandırılmamış Exchange Online Outlook verilerine eriştiğini ve onları sızdırdığını belirledi.”
Devlet kurumunun adı açıklanmazken, CNN ve Washington Post, konuyu bilen kişilere atıfta bulunarak bunun ABD Dışişleri Bakanlığı olduğunu bildirdi. Ticaret Departmanının yanı sıra bir kongre çalışanına, ABD’li bir insan hakları savunucusuna ve ABD’li düşünce kuruluşlarına ait e-posta hesapları da hedef alındı. ABD’de etkilenen kuruluşların sayısının tek haneli olduğu tahmin ediliyor.
Açıklama, teknoloji devinin kampanyayı, özellikle Batı Avrupa’daki devlet kurumlarını hedef alan ve casusluk ve veri hırsızlığına odaklanan Storm-0558 adı altında izlediği, gelişmekte olan “Çin merkezli bir tehdit aktörüne” atfetmesinden bir gün sonra geldi. Şimdiye kadar toplanan kanıtlar, kötü niyetli etkinliğin tespit edilmeden bir ay önce başladığını gösteriyor.
Ancak Çin, bilgisayar korsanlığı olayının arkasında olduğu suçlamalarını reddederek ABD’yi “dünyanın en büyük bilgisayar korsanlığı imparatorluğu ve küresel siber hırsızı” olarak nitelendirdi ve “ABD’nin siber saldırı faaliyetlerini açıklamasının ve kamuoyunun dikkatini başka yöne çekmek için dezenformasyon yaymayı bırakmasının tam zamanı” dedi. .”
Saldırı zinciri, siber casusların Exchange Online (OWA) ve Outlook.com’daki Outlook Web Access’i kullanarak müşteri e-posta hesaplarına erişim elde etmek için sahte kimlik doğrulama belirteçlerinden yararlanmasını gerektirdi. Belirteçler, edinilmiş bir Microsoft hesabı (MSA) tüketici imzalama anahtarı kullanılarak sahte edildi. Anahtarın güvenli hale getirildiği kesin yöntem belirsizliğini koruyor.
İçeriden Gelen Tehditlere Karşı Kalkan: SaaS Güvenlik Duruş Yönetiminde Ustalaşın
İçeriden gelen tehditler konusunda endişeli misiniz? Seni koruduk! SaaS Güvenlik Duruş Yönetimi ile pratik stratejileri ve proaktif güvenliğin sırlarını keşfetmek için bu web seminerine katılın.
Bugün katıl
Kimlik bilgileri erişimini kolaylaştırmak için Storm-0558 tarafından kullanılan Bling ve Cigril adlı iki özel kötü amaçlı yazılım aracıdır; bunlardan ikincisi, şifrelenmiş dosyaların şifresini çözen ve tespit edilmekten kaçınmak için bunları doğrudan sistem belleğinden çalıştıran bir truva atı olarak karakterize edilmiştir.
CISA, FCEB ajansının, özellikle MailItemsAccessed posta kutusu denetleme eylemini kullanarak Microsoft Purview Denetiminde gelişmiş günlük kaydından yararlanarak ihlali tespit edebildiğini söyledi.
Ajans ayrıca kuruluşların Purview Denetimi (Premium) günlüğe kaydetmeyi etkinleştirmesini, Microsoft 365 Birleşik Denetim Günlüğünü (UAL) etkinleştirmesini ve bu tür etkinliklerin aranmasına izin vermek ve bunu ortam içinde beklenen davranıştan ayırt etmek için günlüklerin operatörler tarafından aranabilir olmasını sağlamasını tavsiye ediyor. .
CISA ve FBI, “Kuruluşlar, anormal ve normal trafiği daha iyi anlamak için aykırı değerler aramaya ve temel kalıplara aşina olmaya teşvik ediliyor.”