Siber Güvenlik ve Altyapı Güvenliği Ajansı, Midnight Blizzard'ın federal kurumlar üzerindeki potansiyel etkilerini araştırmak ve azaltmak için Microsoft ile birlikte çalışıyor. Rusya bağlantılı tehdit grubu, Kasım ayının sonlarından itibaren üst düzey Microsoft yöneticilerinin hesaplarına sızdı ve federal kurumlar için daha büyük bir tehdit oluşturabilir.
“Paylaşıldığı gibi 8 Mart blogumuzdaBir Microsoft sözcüsü perşembe günü e-posta yoluyla yaptığı açıklamada, sızdırılan e-postalarımızda sırlar keşfettikçe müşterilerimizle birlikte çalışarak onların her türlü etkiyi araştırmasına ve azaltmasına yardımcı oluyoruz” dedi. “Bu, devlet kurumlarına rehberlik sağlamak üzere bir acil durum direktifi üzerinde CISA ile çalışmayı da içeriyor.”
CISA bu haftanın başlarında federal kurumlara Midnight Blizzard'dan kaynaklanan potansiyel tehdidin nasıl azaltılacağı konusunda bir acil durum talimatı yayınladı. SiberScoop bildirdi. Ancak kurum henüz direktifi kamuoyuna açıklamadı.
CISA yetkilileri herhangi bir direktif hakkında yorum yapmadı ancak Cybersecurity Dive'a tehdide nasıl yanıt verileceği konusunda Microsoft ile birlikte çalıştıklarını doğruladı.
Bir CISA sözcüsü e-posta yoluyla şunları söyledi: “CISA, Ocak 2024'te Microsoft tarafından açıklanan Midnight Blizzard kampanyası aracılığıyla potansiyel olarak risk altına giren hesapların güvenliğini sağlamaya yönelik eylemler konusunda Federal Sivil Yürütme Organı kurumlarına rehberlik sağlamaya devam ediyor.” “Gerekli rehberlik ve bilgileri sağlamak amacıyla federal kurumlara ve daha geniş ekosisteme yönelik riskleri anlamak için Microsoft ile yakın işbirliği içinde çalışıyoruz.”
Artan endişe, Siber Güvenlik İnceleme Kurulu'nun Microsoft'un Microsoft Exchange'e yönelik 2023 yazında gerçekleştirdiği saldırıyı nasıl ele aldığını araştıran çarpıcı bir raporunun ardından geldi. Bu saldırı, Storm-0558 olarak tanımlanan devlet bağlantılı ayrı bir tehdit grubunun 22 Microsoft müşterisinin hesaplarına erişmesine ve ABD Dışişleri Bakanlığı'ndan on binlerce e-postayı çalmasına olanak tanıdı.
CSRB raporu, saldırının “önlenebilir olduğu ve asla gerçekleşmemesi gerektiği” sonucuna vardı ve Microsoft'u vasat güvenlik uygulamaları ve risk yönetimi nedeniyle eleştirdi.
Bu saldırılar nedeniyle hükümetin ciddi tepkisiyle karşılaştıktan sonra Microsoft, Kasım ayında iç güvenlik uygulamalarını yeni bir düzenlemeyle elden geçirme planlarını duyurdu. Güvenli Gelecek Girişimi adlı plan.
Microsoft daha önce Midnight Blizzard'ı uyardı erişim sağladığı “sırları” kötüye kullanmaya çalışıyordu. Orijinal saldırı Ocak ayında açıklandı. Bu sırlardan bazıları Microsoft ve müşterileri arasında e-posta yoluyla paylaşıldı.
Mart ayı güncellemesinde Microsoft, Midnight Blizzard'ın, parola spreyleri de dahil olmak üzere bazı tehdit faaliyetlerinin hacmini Ocak'tan Şubat'a kadar on kat artırdığını söyledi.
Daha önce Nobelium olarak bilinen Midnight Blizzard, SolarWinds müşterilerine yönelik bir tedarik zinciri saldırısı içeren 2020 Sunburst kampanyasının arkasındaki bilgisayar korsanları olarak atfedilen tehdit grubudur.
Geceyarısı Blizzard da vardı JetBrains TeamCity'deki kritik güvenlik açıklarından yararlanma Başvurular Aralık ortasına kadar.
Hewlett Packard Enterprise Menkul Kıymetler Borsası Komisyonu'na Ocak ayında yapılan bir başvuruda açıklandı Midnight Blizzard'ın kendi ortamına erişim sağladığını ve şirket gelen kutularının küçük bir yüzdesinden ve sınırlı sayıda SharePoint dosyasından veri çaldığını söyledi.