Siber Savaş / Ulus Devlet Saldırıları , E-posta Güvenliği ve Koruması , Dolandırıcılık Yönetimi ve Siber Suçlar
Casusluk Grubu Storm-0558 Tarafından Microsoft Outlook Kusuruyla Vurulan 26 Ülke
Jayant Chakraborty (@JayJay_Tech) •
12 Temmuz 2023
Güvenlik uzmanları, Microsoft Outlook kusurunu kötüye kullanan ve ABD’deki hükümetlerin e-posta hesaplarına erişmek için sahte kimlik doğrulama belirteçleri kullanan başka bir geniş kapsamlı saldırının ardından Çin merkezli bilgisayar korsanlarının “sıfır gün dağıtımında akranlarına liderlik ettiğini” söylüyor ve Batı Avrupa.
Ayrıca bakınız: İsteğe Bağlı | Bankacılıkta İçeriden Gelen Tehditleri Ele Alma Sınırlamalarını Aşmak: Gerçek Güvenlik Zorlukları için Gerçek Çözümler
Microsoft ve ABD’li yetkililer Çarşamba günü, Çin merkezli bir tehdit aktörünün ABD hükümet kurumlarının ve en az 25 Avrupa hükümetinin Outlook e-posta hesaplarını casusluk ve veri hırsızlığı amacıyla hacklediğini doğruladı.
Microsoft, Storm-0558 olarak tanımlanan tehdit aktörünün 13 Mayıs’tan bu yana bir belirteç doğrulama sorunundan yararlandığını ve Exchange Online ve Outlook’ta Outlook Web Access kullanan Batı Avrupa devlet kurumlarının e-posta hesaplarına erişmek için sahte kimlik doğrulama belirteçleri kullandığını söyledi. .com. ABD siber güvenlik ve savunma yetkilileri, Çarşamba günü saldırılarla ilgili bir uyarı yayınladı, ancak hangi kurumların hedef alındığını söylemedi. ABD Dışişleri Bakanlığı’nın kurbanlar arasında olduğu bildirildi.
Bir Dışişleri Bakanlığı sözcüsü CNBC’ye verdiği demeçte, “Dışişleri Bakanlığı anormal bir faaliyet tespit etti, sistemlerimizin güvenliğini sağlamak için acil adımlar attı ve daha fazla faaliyeti yakından izlemeye ve hızlı bir şekilde yanıt vermeye devam edecek.”
Microsoft, etkilenen ülkelerin veya devlet kurumlarının adını vermedi, ancak 16 Haziran’dan itibaren anormal e-posta etkinliği hakkında müşteri raporları almaya başladığını ve önümüzdeki birkaç hafta içinde kötü niyetli aktörün güvenliği ihlal edilmiş e-posta hesaplarına erişmesini önlemek için adımlar attığını söyledi. satın alınan MSA anahtarlarıyla sahte jetonlar kullanarak.
“MSA (tüketici) anahtarları ve Azure AD (kurumsal) anahtarları, ayrı sistemlerden verilir ve yönetilir ve yalnızca ilgili sistemleri için geçerli olmalıdır. Aktör, Azure AD kullanıcılarının kimliğine bürünmek ve kurumsal postaya erişim elde etmek için bir belirteç doğrulama sorunundan yararlandı. Biz Azure AD anahtarlarının veya başka herhangi bir MSA anahtarının bu aktör tarafından kullanıldığına dair hiçbir belirti yok” dedi Microsoft.
Microsoft, Storm-0558’in gelecekte belirteçler oluşturmak için kullanmasını önlemek için MSA anahtarını değiştirdi, MSA anahtarı kullanılarak imzalanan tüm belirteçlerin kullanımını engelledi ve sorunun yalnızca Outlook.com ve Outlook Web Access’i etkilediğini onayladı. Çevrimiçi Değişim.
Çin’in Büyüyen Hacking Hüneri
Senato Seçilmiş İstihbarat Komitesi başkanı D-Va’dan ABD Senatörü Mark R. Warner, olayın Çin Halk Cumhuriyeti’nde bilgisayar korsanlarının artan tehdidinin altını çizdiğini söyledi.
Warner yaptığı açıklamada, “ÇHC’nin ABD ve müttefiklerimize yönelik siber toplama yeteneklerini istikrarlı bir şekilde geliştirdiği açıktır.” Dedi. “ABD hükümeti ile özel sektör arasındaki yakın koordinasyon, bu tehdide karşı koymada kritik öneme sahip olacak.”
Silikon Vadisi merkezli siber güvenlik şirketi Armis’in araştırmadan sorumlu baş teknoloji sorumlusu Tom Gol, Information Security Media Group’a Outlook ve OWA’daki belirteç doğrulama sorununun kullanılmasının yüksek düzeyde bir uzmanlığa işaret ettiğini söyledi. “Outlook kullanan kuruluşların, bu tür bir tehdide karşı savunma yapmak için çok faktörlü kimlik doğrulama, güçlü parola politikaları ve düzenli güvenlik denetimleri gibi sağlam güvenlik önlemlerine sahip olması gerekir” dedi.
Siber güvenlik şirketi Mandiant’ın Baş Analisti John Hultquist, saldırının Çin’in taktiklerinin tespit edilmesi çok daha kolay olan geniş kampanyalardan daha hedefli ve sinsi saldırılara nasıl evrildiğini gösterdiğini söyledi.
“Bu aktörler, şüphelenmeyen kurbanları kötü amaçlı dosya veya bağlantıları açmaları için manipüle etmek yerine, bizi zaten zorlayan yeni yöntemler geliştiriyor ve tasarlıyor” dedi. “Sıfır gün dağıtımında akranlarına liderlik ediyorlar ve özellikle güvenlik cihazlarını hedef alarak bir niş oluşturdular.”
Hultquist, Çinli siber aktörlerin artık savunmacıların hareketlerini takip etmesini zorlaştırmak için güvenliği ihlal edilmiş sistemlerin ayrıntılı, geçici vekil ağlarını kullanarak nasıl bağlanacaklarını bildiklerine inanıyor. “Gerçek şu ki, her zamankinden daha sofistike bir düşmanla karşı karşıyayız ve onlara ayak uydurmak için çok daha fazla çalışmamız gerekecek” dedi.
Çin Stratejisi konulu AB Toplantısı ile Zamanlandı
Storm-0558, Avrupa Birliği liderlerinin Stockholm’deki bir toplantıda AB’nin Çin’e yönelik politikasını yeniden ayarlamanın yollarını tartışmasından bir gün sonra Batı Avrupa devlet kurumlarını hedef almaya başladı. 17 Mayıs’ta AB konuyla ilgili bir basın açıklaması yayınlayarak Çin’i en büyük ticaret ortağı ama aynı zamanda bir rakip ve sistemik bir rakip olarak nitelendirdi.
Avrupa Komisyonu Başkan Yardımcısı Josep Borrell, AB’nin Çin’deki “belirli ürünlere ve kritik hammaddelere aşırı bağımlılık riskinin arttığını” vurguladı ve AB değer zincirlerinin ve gelen yatırımlar üzerindeki kontrollerin çeşitlendirilmesi ve yeniden yapılandırılması çağrısında bulundu. “Yılda 400 milyar avroyu aşan AB’nin ticaret açığı kabul edilemez bir seviyede. Bunun nedeni AB’nin rekabet eksikliği değil, Çin’in kasıtlı seçimleri ve politikalarıdır.”
Avrupa Birliği 2021’de Çin’i, AB’deki devlet kurumları ve kurumları da dahil olmak üzere dünya çapında binlerce kuruluşu hedef almak için Microsoft Exchange sunucusundaki güvenlik açıklarından yararlanan siber suçluları barındırmakla suçladı.
“Bu faaliyetler, APT 40 ve APT 31 olarak bilinen hacker gruplarıyla ilişkilendirilebilir ve fikri mülkiyet hırsızlığı ve casusluk amacıyla Çin topraklarından yürütülmüştür. AB ve üye devletler, bu tür kötü niyetli siber faaliyetleri şiddetle kınıyor. Tüm BM üye devletleri tarafından onaylanan sorumlu devlet davranışı normlarına aykırı olarak üstlenilmektedir” denildi.
Hedeflenen ABD Devlet Kurumları
OWA ve Outlook.com’daki bir belirteç doğrulama kusurunun Storm-0558 tarafından kullanılması da sınırlı sayıda ABD devlet kurumunu etkiledi. Beyaz Saray Ulusal Güvenlik Konseyi sözcüsü Adam Hodge, CNN’e ajansların istismarı Haziran ayında tespit ettiğini ve etkisini azaltmak için Microsoft ile çalışmaya devam ettiğini söyledi.
“Geçen ay, ABD hükümeti koruma önlemleri, Microsoft’un bulut güvenliğinde, sınıflandırılmamış sistemleri etkileyen bir saldırı tespit etti. Yetkililer, bulut hizmetlerindeki kaynağı ve güvenlik açığını bulmak için hemen Microsoft ile iletişime geçti. ABD hükümetinin satın alma sağlayıcılarını yüksek bir güvenlik seviyesinde tutmaya devam ediyoruz. eşik” dedi.
Microsoft, blog gönderisinde ABD devlet kurumlarının hedef alınmasından bahsetmedi, ancak Başkan Yardımcısı Charlie Bell, şirketin Microsoft Bulut’u izinsiz giriş girişimlerinden korumak için İç Güvenlik Bakanlığı’nın Siber Güvenlik ve Altyapı Güvenliği Ajansı da dahil olmak üzere devlet kurumlarıyla ortaklık kurduğunu söyledi.
Bell, “Savunmaları ve müşteri ortamlarını güçlendirmek için bu saldırıyla ilişkili bilinen risk göstergeleri için önemli otomatik algılamalar ekledik ve daha fazla erişim kanıtı bulamadık” dedi.