ABD Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA) perşembe günü bir acil durum direktifi (ED 24-02) yayınladı ve federal kurumları uzlaşma işaretlerini takip etmeye ve e-posta yazışmalarının çalınmasına yol açan Microsoft sistemlerinin yakın zamanda ele geçirilmesinin ardından önleyici tedbirler almaya çağırdı. Firmayla beraber.
Bu yılın başlarında ortaya çıkan saldırının Midnight Blizzard (diğer adıyla APT29 veya Cozy Bear) olarak takip edilen bir Rus ulus devlet grubuna atfedildiği düşünülüyor. Geçen ay Microsoft, saldırganın bazı kaynak kod depolarına erişmeyi başardığını açıklamış ancak müşteriye yönelik sistemlerde herhangi bir ihlal olduğuna dair hiçbir kanıt bulunmadığını belirtmişti.
İlk olarak 2 Nisan’da federal kurumlara özel olarak yayınlanan acil durum direktifi ilk olarak iki gün sonra CyberScoop tarafından bildirildi.
CISA, “Tehdit aktörü, Microsoft müşteri sistemlerine ek erişim kazanmak veya elde etmeye çalışmak için, Microsoft müşterileri ile Microsoft arasında e-posta yoluyla paylaşılan kimlik doğrulama ayrıntıları da dahil olmak üzere, başlangıçta kurumsal e-posta sistemlerinden sızan bilgileri kullanıyor.” dedi.
Ajans, devlet kurumları ile Microsoft arasındaki e-posta yazışmalarının çalınmasının ciddi riskler oluşturduğunu belirterek, ilgili tarafları sızdırılan e-postaların içeriğini analiz etmeye, ele geçirilen kimlik bilgilerini sıfırlamaya ve ayrıcalıklı Microsoft Azure hesapları için kimlik doğrulama araçlarının güvenli olduğundan emin olmak için ek adımlar atmaya çağırdı.
Şu anda olayın ardından kaç federal kurumun e-posta alışverişlerinin sızdırıldığı belli değil, ancak CISA hepsine bilgi verildiğini söyledi.
Ajans ayrıca etkilenen kuruluşlara 30 Nisan 2024 tarihine kadar bir siber güvenlik etki analizi gerçekleştirmeleri ve 1 Mayıs 2024 saat 23:59’a kadar bir durum güncellemesi sunmaları konusunda çağrıda bulunuyor. İhlalden etkilenen diğer kuruluşların ilgili Microsoft hesaplarıyla iletişime geçmeleri tavsiye ediliyor. Ek sorularınız veya takipleriniz için ekiple iletişime geçin.
CISA, “Doğrudan etkisi ne olursa olsun, tüm kuruluşların güçlü şifreler, çok faktörlü kimlik doğrulama (MFA) ve korunmasız hassas bilgilerin güvenli olmayan kanallar aracılığıyla paylaşılmasının yasaklanması dahil olmak üzere sıkı güvenlik önlemlerini uygulamaları şiddetle teşvik edilmektedir.” dedi.
Bu gelişme, CISA’nın kötü amaçlı yazılım analiz sisteminin, kuruluşların kötü amaçlı yazılım örneklerini (anonim olarak veya başka şekilde) ve diğer şüpheli eserleri analiz için göndermesine olanak tanıyan Malware Next-Gen adı verilen yeni bir sürümünü yayınlamasıyla ortaya çıktı.