Microsoft ve Hewlett-Packard Enterprise (HPE) yakın zamanda Rusya’nın “Midnight Blizzard” bilgisayar korsanlarının elinde kurumsal e-posta ihlallerine maruz kaldıklarını açıkladılar.
Kremlin’in SVR dış istihbaratına bağlı olan grup, özellikle SVR’nin 2016 ABD başkanlık seçimlerine karışan, yıllardır dünya çapında agresif hükümet ve şirket casusluğu yürüten çete olan APT 29 Cozy Bear ile bağlantılıdır. 2021’deki meşhur SolarWinds tedarik zinciri saldırısının arkasında. Hem HP’nin hem de Microsoft’un ihlalleri birkaç gün arayla gün yüzüne çıkarken, durum esas olarak Midnight Blizzard’ın uluslararası casusluk faaliyetlerinin devam eden gerçekliğini ve kuruluşların dijital savunmalarındaki zayıflıkları bulmak için ne kadar çaba harcayacağını gösteriyor.
“Rus istihbarat destekli tehdit aktörlerinin ve özellikle SVR’nin Microsoft ve HPE gibi teknoloji şirketlerini hedef almasına şaşırmamalıyız. Bu büyüklükteki kuruluşlarla öyle olmadıklarını öğrenmek çok daha büyük bir sürpriz olurdu,” diyor eski bir ABD Ulusal Güvenlik Ajansı hacker’ı ve şu anda Uygulamalı Ağ Güvenliği Enstitüsü’nde öğretim üyesi olan Jake Williams.
HP Enterprise, Çarşamba günü yayınlanan ABD Menkul Kıymetler ve Borsa Komisyonu sunumunda Midnight Blizzard’ın geçen yıl “bulut tabanlı e-posta ortamına” erişim kazandığını söyledi. Şirket durumu ilk olarak 12 Aralık 2023’te öğrendi, ancak saldırının Mayıs 2023’te başladığını söyledi. Bilgisayar korsanları “siber güvenliğimiz, pazara giriş, pazarlama faaliyetlerimiz kapsamındaki kişilere ait HPE posta kutularının küçük bir yüzdesinden verilere erişti ve verileri sızdırdı.” Şirket, SEC dosyasında “iş segmentleri ve diğer işlevler” diye yazdı. HP Enterprise, ihlalin muhtemelen Haziran 2023’te keşfedilen ve Midnight Blizzard’ın Mayıs 2023’ten itibaren şirketin “SharePoint” dosyalarına erişip bunları sızdırdığı başka bir olayın sonucu olarak ortaya çıktığını söyledi. SharePoint, çok hedefli bir bulut işbirliği platformudur. Microsoft tarafından Microsoft 365 ile entegre olan.
HP Enterprise sözcüsü Adam Bauer, WIRED’e yaptığı açıklamada, “Erişilen veriler, HPE kullanıcılarının e-posta kutularında bulunan bilgilerle sınırlıdır” dedi. Erişilmiş olabilecek bilgileri belirlemek için bu posta kutularını araştırmaya ve analiz etmeye devam ediyoruz ve gerektiğinde uygun bildirimleri yapacağız.”
Bu arada Microsoft Cuma günü yaptığı açıklamada, 12 Ocak’ta Kasım 2023’teki bir ihlalle bağlantılı bir sistem saldırısı tespit ettiğini söyledi. Saldırganlar, bazı tarihi Microsoft sistem test hesaplarını hedef aldı ve ele geçirdi; bu hesaplar, daha sonra “kıdemli liderlik ekibimizin üyeleri ve siber güvenlik, hukuk ve diğer fonksiyonlarımızdaki çalışanlar da dahil olmak üzere Microsoft kurumsal e-posta hesaplarının çok küçük bir yüzdesine” erişmelerine olanak tanıdı. Grup oradan “bazı e-postaları ve ekli belgeleri” sızdırmayı başardı. Microsoft, açıklamasında saldırganların Microsoft’un araştırmaları ve Midnight Blizzard hakkındaki bilgileri hakkında bilgi aradıklarını belirtti.
“Saldırı, Microsoft ürün veya hizmetlerindeki bir güvenlik açığının sonucu değildi. Şirket, açıklamasında şu ana kadar tehdit aktörünün müşteri ortamlarına, üretim sistemlerine, kaynak koduna veya yapay zeka sistemlerine erişimi olduğuna dair hiçbir kanıt bulunmadığını yazdı. “Bu saldırı, Midnight Blizzard gibi iyi kaynaklara sahip ulus devlet tehdit aktörlerinin tüm kuruluşlar için oluşturduğu sürekli riskin altını çiziyor.”