Siber Savaş / Ulus-Devlet Saldırıları, Şifreleme ve Anahtar Yönetimi, Dolandırıcılık Yönetimi ve Siber Suçlar
Kilitlenme Dökümü Anlık Görüntüsü Dahil Edilen Etkin İmzalama Anahtarı
Sayın Mihir (MihirBagwe) •
7 Eylül 2023
Microsoft’un Nisan 2021’de tüketici imzalama sistemindeki bir çökmeyi analiz etmek için alınan verilerin anlık görüntüsüne aktif bir dijital imzalama anahtarı eklemesinin ardından Çinli bilgisayar korsanları, üst düzey ABD yetkililerinin e-posta hesaplarına erişebildi.
Ayrıca bakınız: Los Alamos Bilim Adamları: Çin Ordusuna Alındı
Anahtarın kilitlenme dökümüne dahil edilmesi, Çin merkezli bir casusluk hack grubunun Microsoft’un Storm-0558’i takip ederek ABD Dışişleri ve Ticaret Bakanlıkları da dahil olmak üzere 25 farklı kuruluşa bağlı e-posta hesaplarına erişim sağlamasına yol açan birçok aksilikten sadece biriydi (bkz. : Bilgisayar Korsanları İmza Anahtarını Çaldı ve ABD Hükümetinin Microsoft 365’ini Çaldı).
Microsoft, çarşamba günkü bir blog yazısında saldırıya yol açan olaylar zincirini ayrıntılı olarak anlattı. E-posta saldırıları 15 Mayıs’ta başladı ve bir ay boyunca fark edilmedi; bu durum Avrupa Parlamentosu’nun Çin politikasına ilişkin toplantısı ve ABD’nin Çin’e diplomatik ziyaretleriyle aynı zamana denk geldi. ABD ile Çin arasındaki gerilim, Çin’in Güney Çin Denizi’ndeki saldırganlığına ilişkin endişeler ve Amerika’nın Pekin’in ileri teknolojiye erişimini kısıtlama yönündeki adımları nedeniyle artıyor (bkz: ABD, Çin Yapay Zekası ve Diğer Teknolojilere Yatırımı Kısıtlıyor).
Bilgi işlem devi, daha önce Çinli bilgisayar korsanlarının, Microsoft’un imzalama sistemindeki bir dijital anahtarı kullanarak bulut tabanlı Outlook e-posta hesaplarına erişmek için kendi kimlik doğrulama belirteçlerini oluşturabildiklerini kabul etmişti.
Kilitlenme dökümü, birden fazla bilgisayar talimatının paylaşılan verilere aynı anda erişmek veya bunları değiştirmek için “yarıştığı” zaman ortaya çıkan bir kusur nedeniyle, düzenlenmemiş şarkı söyleme anahtarını içeriyordu.
Standart hata ayıklama prosedürüne uygun olarak Microsoft, kilitlenme dökümü verilerini, kilitlenmenin meydana geldiği izole bir üretim ortamından internete bağlı kurumsal ağa taşıdı. Kimlik bilgilerini tespit etmeye yönelik taramada imzalama anahtarı bulunamadı. Görünüşe göre Çinli bilgisayar korsanları, bir Microsoft mühendisinin kurumsal hesabına girip çökme dökümü verilerini incelediklerinde otomatik taramadan daha başarılı oldular.
En azından Microsoft, bunun gerçekleştiğini düşünüyor: “Günlük saklama politikaları nedeniyle, bu aktörün gerçekleştirdiği bu sızıntıya ilişkin spesifik kanıtları içeren kayıtlarımız yok, ancak bu, aktörün anahtarı elde ettiği en olası mekanizmaydı.” diye yazdı .
Çalınan imzalama anahtarı Microsoft tüketici uygulamalarına yönelikti ancak bilgisayar korsanları bunu kurumsal e-postaya erişim sağlamak için kullandı. Şirket, bunun nedeninin tüketici ve kurumsal uygulamalara yönelik önemli bir meta veri yayınlama uç noktasının anahtar kapsamı otomatik olarak doğrulamaması olduğunu söylüyor. Bir bilgisayar korsanı, kurumsal uygulamalar için kimlik doğrulama belirteçleri oluşturmak amacıyla bir tüketici anahtarı kullanabilir.
ABD federal siber savunucuları, günlük verilerini inceledikten sonra hacklemeyi fark etti. Microsoft, Temmuz ayında Siber Güvenlik ve Altyapı Güvenlik Ajansı’na danıştıktan sonra alınan bir kararla müşterilerin günlüklere erişimini genişleteceğini söyledi. Siber güvenlik yönetici yardımcısı Eric Goldstein, “Kuruluşlardan gerekli kayıtlar için daha fazla ödeme yapmalarını istemek, siber güvenlik olaylarının araştırılmasında yetersiz görünürlük için bir reçetedir ve saldırganların Amerikan kuruluşlarını hedef almada tehlikeli düzeylerde başarı elde etmesine izin verebilir” dedi (bkz: Microsoft, Çin Hack Blowback’inden Sonra Günlük Erişimini Genişletiyor).
Ağustos ayında, CISA’nın da bir parçası olduğu İç Güvenlik Bakanlığı, DHS liderliğindeki Siber Güvenlik İnceleme Kurulunun Microsoft e-posta korsanlığı olayını ve genel olarak bulut tabanlı kimlik ve kimlik doğrulama altyapısını inceleyeceğini duyurdu.