Çin merkezli bir tehdit aktörü olan Storm-0558, yakın zamanda bir Microsoft hesabı tüketici anahtarına erişim elde etti. Bu onların devlet kurumlarındakiler de dahil olmak üzere 25 kuruluşa sızmalarına ve onları tehlikeye atmalarına olanak sağladı.
15 Mayıs 2023’ten bu yana casusluk amacıyla e-postalara erişmek için sahte jetonlar kullanıyorlar.
11 Temmuz 2023’te Microsoft, diğer ortamların etkilenmemesini sağlarken Storm-0558 kampanyasına bir blok uyguladı.
ABD Ticaret Bakanı Gina Raimondo ve diğer yüksek profilli kişilerin özel e-postalarına bilgisayar korsanları erişmiş olabilir.
Microsoft’tan soruşturma
Tehdit aktörü grubunu kategorize ettikten sonra Microsoft, tehdit aktörlerinin Microsoft hesabı tüketici imzalama anahtarını elde etmek için kullandıkları yöntemlere ve bunun kurumsal e-posta sistemlerine giriş yapmak için nasıl kullanıldığına ilişkin bir araştırma başlattı.
Şirket, araştırmasında Nisan 2021’de tüketici imzalama sistemi çökmesi tespit etti ve bu çökme, çöken sürecin anlık görüntüsünün oluşturulmasına yol açtı.
Ortaya çıktığı sırada, kilitlenme dökümünün yukarıda belirtilen anahtar materyali içerdiği Microsoft’un bilgisi dahilinde değildi.
Daha sonra, anahtarın dahil edilmediğine inanılarak kilitlenme dökümünün internete bağlı kurumsal ağdaki hata ayıklama ortamına taşındığı tespit edildi.
Microsoft, anahtarın bir Microsoft mühendisinin kurumsal hesabını başarıyla ele geçirerek kurumsal ortamdaki kilitlenme dökümünden sızdırıldığına inanıyor.
“Günlük saklama politikaları nedeniyle, bu aktörün gerçekleştirdiği bu sızdırma işlemine ilişkin spesifik kanıtları içeren kayıtlarımız yok, ancak bu, aktörün anahtarı elde ettiği en olası mekanizmaydı.”
Microsoft, yukarıda belirtilen sorunların çözüldüğünü ve imzalama anahtarının varlığını daha doğru bir şekilde belirlemek için gelişmiş bir kimlik bilgisi tarama teknolojisinin uygulandığını bildirdi.
Washington DC’de bulunan Çin Büyükelçiliği gönderilen bir e-postaya yanıt vermedi. Çin hükümeti, ABD’deki üst düzey yetkililere ait e-postaların çalındığı suçlamasını “asılsız” olarak nitelendirdi.
Kuruluşların özellikle bu tür tehditler karşısında hesaplarının ve verilerinin güvenliğini sağlamak için proaktif önlemler alması gerekiyor.
Bizi Google Haberler, Linkedin’den takip ederek en son Siber Güvenlik Haberlerinden haberdar olun, heyecanve Facebook.