Microsoft Outlook hesaplarını hedef alan bir veri ihlali nedeniyle ABD Dışişleri Bakanlığı’na ait binlerce e-posta çalındı.
Çinli bilgisayar korsanları, Mayıs 2023’te Microsoft’un bulut tabanlı Exchange e-posta platformunun güvenliğini ihlal etmekten sorumludur. Saldırganlar, resmi hesaplardan on binlerce e-postayı çalmanın yanı sıra, Dışişleri Bakanlığı’na ait tüm e-posta hesaplarının bir listesini ele geçirdi. Reuters bildirdi.
Hackread.com tarafından bildirildiği üzere Microsoft, ihlali Temmuz 2023’te ortaya çıkardı ve tehdit aktörlerinin ABD Dışişleri ve Ticaret Bakanlıkları dahil 25 kuruluş tarafından kullanılan Outlook hesaplarını ve bu kuruluşlarla bağlantılı diğer suçlamaları ihlal ettiğini açıkladı. Teknoloji devi, etkilenen kuruluşların ve devlet kurumlarının adlarını açıklamadı.
İhlalin kapsamı 28 Eylül 2023’te Senato personel brifinginde açıklandı. Pasifik, Doğu Asya ve Avrupa’da görev yapan dışişleri bakanlığı yetkililerine ait en az 60.000 e-postanın çalındığı ortaya çıktı. Ele geçirilen hesaplar çoğunlukla Hint-Pasifik diplomasisine odaklanan personele aitti.
Dışişleri Bakanlığı sözcüsü Matthew Miller, düzenlediği basın toplantısında veri ihlalini doğruladı ve bu olayda “gizli sistemlerin” saldırıya uğramadığını açıkladı. Miller ayrıca departmanın henüz bir atıf yapmadığını ancak Microsoft’un atıfından şüphe etmek için hiçbir neden olmadığını da sözlerine ekledi.
Miller gazetecilere verdiği demeçte, “Yine bu, Dışişleri Bakanlığı’nın ortaya çıkardığı ve Microsoft’a bildirdiği bir Microsoft sistemleri saldırısıydı” dedi.
Öte yandan Senatör Eric Schmitt, resmi açıklamasında gelecekte bu tür saldırılara karşı güvenlik savunmalarının “sertleştirilmesi” ihtiyacının arttığını söyledi. Üstelik Schmitt, federal hükümetin tek bir satıcıya bağımlılığının da gözden geçirilmesi gerektiğine inanıyor çünkü bu zayıf bir halka olabilir.
Microsoft, e-posta ihlali nedeniyle Storm-0558 adlı Çinli siber casusluk grubunu suçladı. Bu grubun, hassas verileri çalmak amacıyla hedeflerinin e-posta sistemlerine sızmasıyla tanınıyor.
Bir Microsoft temsilcisine göre Storm-0558, bir Windows kilitlenme dökümüne erişti ve Exchange Online ve Azure Active Directory hesaplarını tehlikeye atmak için kullanılabilecek bir tüketici imzalama anahtarı elde etti. Anahtar, GetAccessTokenForResourceAPI’yi etkileyen, önceden yama uygulanmış bir sıfır gün doğrulama hatasından yararlanılarak elde edildi.
Saldırganlar bu kusurdan yararlanarak sahte imzalı erişim belirteçleri oluşturabilir ve hedef kuruluşlarına ait herhangi bir hesabın kimliğine bürünebilir. Storm-0558, bu teknikle bir Microsoft mühendisinin kurumsal hesabını ele geçirdi ve devletin e-posta hesaplarına erişmeyi başardı.
Microsoft, çalınan imzalama anahtarını iptal etti ve olayla ilgili soruşturma başlattı. Şirket, aynı erişim jetonu sahteciliği yöntemini kullanarak müşteri hesaplarına tekrarlanan yetkisiz erişime ilişkin başka bir kanıt doğrulamadı.
CISA’nın ısrarı üzerine Microsoft, ağ savunucularının ihlal girişimlerini hızlı bir şekilde tespit edebilmesi için şu ana kadar yalnızca Purview Audit (Premium) günlük kaydı lisanslarına sahip kullanıcıların erişebildiği bulut günlük kaydı verilerine erişimi ücretsiz olarak genişletmeyi kabul etti.
My1Login’in CEO’su Mike Newman, bu olay hakkında yorum yaparak, bilgisayar korsanlarının Outlook’tan hassas hükümet verilerine erişmesi nedeniyle bu saldırının çok önemli olduğunu belirtti.
“Saldırganların bu ihlalde çok sayıda saldırı vektörünü bir araya getirerek son derece hassas bilgilere eriştiği görülüyor. Bunlar, Microsoft’un bu saldırıyı gerçekleştirmek için yüksek motivasyona sahip kararlı bir düşmanla karşı karşıya olduğunun sinyalini veren karmaşık ve gelişmiş tekniklerdir.”
Newman ayrıca, şifrelemenin bu tür olaylara karşı en iyi savunma olduğunu ve iş gücünün, kaybolmaması veya çözülmemesi için kullanıcı kimlik bilgilerine erişmesine izin verilmemesi gerektiğini belirtti. Üstelik Microsoft’un ilk etapta tüketicilerin özel anahtarlarına erişimi olmamalıdır.
“Güvenlik açısından müşteri verilerinin (yani e-postalar, saklanan kimlik bilgileri, belgeler) yalnızca müşterinin bildiği anahtarlar kullanılarak şifrelenmesi zorunlu olmalıdır, bu da bunlara bulut yazılım sağlayıcısı veya harici, kötü niyetli bir aktör tarafından erişilemeyeceği anlamına gelir.”
İLGİLİ MAKALELER
- Çinli Grup Storm-0558 Avrupa Hükümetinin E-postalarını Hackledi
- Çin APT Flax Typhoon siber casusluk için yasal araçlar kullanıyor
- Çinli Hackerlar Outlook Hesaplarına Erişmek İçin İmza Anahtarını Çaldı
- Çinli Bilgisayar Korsanları Kötü Amaçlı Yazılım İmzalamak İçin Çalınan Ivacy VPN Sertifikasını Kullanıyor
- Çin APT Sahte Sinyal ve Telegram Uygulamalarını Resmi Uygulama Mağazalarına Kaydırdı