Microsoft’a göre Çinli bir bilgisayar korsanlığı grubu, ABD ve Batı Avrupa devlet kurumları da dahil olmak üzere dünya çapında iki düzineden fazla kuruluşun e-posta hesaplarını ihlal etti.
Saldırılar, e-posta sistemlerini ihlal ederek hassas bilgileri toplamaya odaklanan bir siber casusluk ekibi olduğuna inanılan Storm-0558 olarak izlenen bir tehdit grubuna sabitlendi.
Microsoft, olağan dışı posta etkinliğiyle ilgili müşteri bildirimlerinin ardından 16 Haziran 2023’te bu saldırıları araştırmaya başladı.
Şirket, 15 Mayıs 2023’ten itibaren Storm-0558 tehdit aktörlerinin yaklaşık 25 kuruluşa ait Outlook hesaplarına ve bu kuruluşlarla bağlantılı olması muhtemel bazı tüketici hesaplarına erişmeyi başardığını keşfetti.
Bunu yapmak için saldırganlar, çalınan bir Microsoft hesabı (MSA) tüketici imzalama anahtarının yardımıyla sahte kimlik doğrulama belirteçleri kullandılar.
Microsoft, Salı akşamı geç saatlerde yayınlanan bir blog gönderisinde, “Microsoft araştırmaları, Storm-0558’in kullanıcı e-postalarına erişmek için kimlik doğrulama belirteçleri oluşturarak Exchange Online (OWA) ve Outlook.com’daki Outlook Web Access’i kullanarak müşteri e-posta hesaplarına erişim kazandığını belirledi.”
“Aktör, OWA ve Outlook.com’a erişmek için belirteçleri taklit etmek üzere edinilmiş bir MSA anahtarı kullandı. MSA (tüketici) anahtarları ve Azure AD (kurumsal) anahtarları, ayrı sistemler tarafından verilir ve yönetilir ve yalnızca ilgili sistemleri için geçerli olmalıdır. Aktör Azure AD kullanıcılarının kimliğine bürünmek ve kurumsal postaya erişim elde etmek için bir belirteç doğrulama sorunundan yararlandı.”
Microsoft, “bu saldırının hafifletilmesini tamamladıktan” sonra herhangi bir ek yetkisiz erişime işaret eden hiçbir kanıt bulamadığını da sözlerine ekledi.
ABD hükümeti tarafından keşfedildi ve bildirildi
Olay, Microsoft bulut tabanlı e-posta hizmetlerine yetkisiz erişimin keşfedilmesinin ardından geçen ay ABD hükümet yetkilileri tarafından Microsoft’a bildirildi.
Bu, Ulusal Güvenlik Konseyi sözcüsü Adam Hodge tarafından CNN ile paylaşılan bir açıklamada doğrulandı.
Hodge, CNN’e “Geçen ay, ABD hükümeti koruma önlemleri, Microsoft’un bulut güvenliğinde sınıflandırılmamış sistemleri etkileyen bir izinsiz giriş tespit etti” dedi.
“Yetkililer, bulut hizmetlerindeki kaynağı ve güvenlik açığını bulmak için hemen Microsoft ile iletişime geçti. ABD Hükümeti’nin tedarik sağlayıcılarını yüksek bir güvenlik eşiğinde tutmaya devam ediyoruz.”
Salı günü Microsoft ayrıca, Rusya merkezli RomCom siber suç grubunun, Litvanya’nın Vilnius kentinde düzenlenen NATO Zirvesi’ne katılan kuruluşları hedef alan son mızraklı kimlik avı saldırılarında yamasız bir Office sıfır gününden yararlandığını da ortaya çıkardı.