Çinli APT, 25 Devlet Kurumundaki Microsoft Outlook E-postalarını Kırdı



Bu baharda Çinli bir tehdit aktörü, Dışişleri Bakanlığı da dahil olmak üzere Batı Avrupa ve ABD’deki 25 devlet kurumunun e-posta hesaplarına erişti.

11 Temmuz’da Microsoft, “Storm-0558” olarak izlediği grup tarafından yürütülen bir siber casusluk kampanyasını bastırdığını bildirdi. Storm-0558, Çin merkezlidir ve başta Batılı hükümet kuruluşlarına karşı olmak üzere casusluğa odaklanmış görünmektedir.

İsimsiz kaynaklar CNN’e, kampanyanın ABD Dışişleri Bakanlığı’nın yanı sıra Capitol Hill’deki bir kuruluşu da etkilediğini söyledi (ancak saldırganların ikincisine karşı başarılı olup olmadığı daha az açık). CNN’in bildirdiğine göre, bilgisayar korsanları “belirli yetkilileri hedef alan bir saldırıda her kurumdaki yalnızca bir avuç yetkilinin e-posta hesabına” odaklandı. Düşmanların ne tür hassas bilgilere erişebildikleri belli değil.

Microsoft’un Storm-0558 profiline göre, aynı zamanda iki özel kötü amaçlı yazılımıyla da tanınıyor – Bling ve tespit edilmekten kaçınmak için dosyaları şifreleyen ve doğrudan sistem belleğinden çalıştıran bir Truva atı olan Cigril.

Bu örnekte grup, yetkili Azure Active Directory (AD) kullanıcıları kılığına girerek kurumsal e-posta hesaplarına ve içinde yer alan potansiyel olarak hassas bilgilere erişim elde etmek için kimlik doğrulama belirteçleri oluşturabildi.

Mandiant’ın Google Cloud baş analisti John Hultquist, Dark Reading’e gönderdiği yazılı açıklamada, “Çin siber casusluğu, çoğumuzun aşina olduğu parçala ve yakala taktiklerinden çok yol kat etti” dedi. “Yeteneklerini, tespit edilmesi çok daha kolay olan geniş, gürültülü kampanyaların hakim olduğu bir yetenekten dönüştürdüler. Daha önce küstahtılar, ancak şimdi açıkça gizliliğe odaklandılar.”

Çin Casus Kampanyası Hakkında Şimdiye Kadar Bildiklerimiz

Microsoft’a ilk olarak 16 Haziran’da anormal posta etkinliği ihbarı verildi. Biraz araştırmadan sonra, daha geniş bir siber casusluk kampanyasının sürmekte olduğu ve en az bir ay öncesine, 15 Mayıs’a kadar uzandığı anlaşıldı.

Storm-0558’in casusluğu, çalınan Yönetilen Hizmet Hesabı (MSA) tüketici imzalama anahtarları ve grubun, Outlook.com ve Outlook Web’i kullanarak e-posta hesaplarına erişmek için meşru Azure AD kullanıcılarının kimliğine bürünerek sahte kimlik doğrulama belirteçleri oluşturmasına izin veren bir doğrulama sorunu tarafından etkinleştirildi. Exchange Online’da istemciye erişin.

Microsoft o zamandan beri MSA anahtar sorununu çözerek daha fazla tehdit aktörü etkinliğini engelledi.

Toplamda, APT’nin başta Batı Avrupa’da olmak üzere 25 devlet kurumunu ve bu kurumlarla ilişkili kişilerin kişisel hesaplarını ele geçirdiği görülüyor. Microsoft Security’den sorumlu başkan yardımcısı Charlie Bell’in bir blog gönderisinde belirttiği gibi: “Bu iyi kaynaklara sahip düşmanlar, hedeflenen kuruluşlarla ilişkili ticari veya kişisel hesapları tehlikeye atmaya çalışmak arasında hiçbir ayrım yapmıyorlar, çünkü kalıcı bir hesap elde etmek için yalnızca başarılı bir şekilde ele geçirilmiş bir hesap oturumu açmanız yeterli. bilgilere erişin, sızdırın ve casusluk hedeflerine ulaşın.”

Microsoft o zamandan beri bilinen tüm kurbanlarla iletişime geçti ve müşterilerin başka bir işlem yapmasına gerek olmadığını kaydetti.

Ayrıcalıklı kuruluşlara ait hassas sistemleri kırmaya yönelik bu son yeni yaklaşım, Çinli tehdit aktörlerinin ticaret araçlarını yükselttiklerinin en son kanıtı. Hultquist, “Gerçek şu ki, her zamankinden daha sofistike bir düşmanla karşı karşıyayız ve onlara ayak uydurmak için çok daha fazla çalışmamız gerekecek” diye yazıyor.

Microsoft, bu hikaye hakkında yorum yapma isteğini reddetti.



Source link