CISA, ABD federal kurumlarına, birden fazla Microsoft kurumsal e-posta hesabının Rus APT29 bilgisayar korsanlığı grubu tarafından ihlal edilmesinden kaynaklanan riskleri ele almalarını emreden yeni bir acil durum direktifi yayınladı.
24-02 Acil Durum Yönergesi, 2 Nisan’da Federal Sivil Yürütme Organı (FCEB) kurumlarına yayımlandı. Bu yönerge, onların potansiyel olarak etkilenen e-postaları araştırmasını, ele geçirilen kimlik bilgilerini (varsa) sıfırlamasını ve ayrıcalıklı Microsoft Azure hesaplarını güvence altına almak için önlemler almasını gerektiriyor.
CISA, Rus Dış İstihbarat Servisi (SVR) görevlilerinin, belirli müşteri sistemlerine erişim sağlamak için artık Microsoft ile müşterileri arasında e-posta yoluyla paylaşılan kimlik doğrulama ayrıntıları da dahil olmak üzere Microsoft’un kurumsal e-posta sistemlerinden çalınan bilgileri kullandığını söylüyor.
Microsoft ve ABD siber güvenlik kurumu, Microsoft ile e-posta yazışmalarının Rus bilgisayar korsanları tarafından sızdırıldığı tespit edilen tüm federal kurumları zaten bilgilendirdi.
“Bu Acil Durum Yönergesi, federal sistemlerimize yönelik riski azaltmak için kurumların acil eyleme geçmesini gerektiriyor. ABD hükümeti, birkaç yıldır kötü amaçlı siber faaliyetleri Rusya’nın taktik kitabının standart bir parçası olarak belgeledi; Microsoft’un bu son uzlaşması, onların uzun listesine ekleniyor.” Perşembe günü CISA Direktörü Jen Easterly söyledi.
“Sistemlerimizi bu tür tehdit faaliyetlerinden korumak ve savunmak için federal hükümetimiz ve özel sektör ortaklarımızla işbirliği içinde çabalarımızı sürdüreceğiz.”
CISA, etkilenen kurumlara, ele geçirilen Microsoft hesaplarıyla ilgili kurum yazışmalarının tüm içeriğini belirlemeleri ve 30 Nisan 2024’e kadar bir siber güvenlik etki analizi yapmaları talimatını verdi.
Kimlik doğrulama ihlali belirtileri tespit edenlerin şunları yapması gerekir:
- Güvenliği ihlal edildiği bilinen veya şüphelenilen belirteçler, parolalar, API anahtarları veya diğer kimlik doğrulama bilgileri için derhal iyileştirme eylemi gerçekleştirin.
- 30 Nisan 2024’e kadar 1. eylem kapsamında tespit edilen bilinen veya şüphelenilen kimlik doğrulama ihlalleri için:
- İlgili uygulamalardaki kimlik bilgilerini sıfırlayın ve artık ajans tarafından kullanılmayan ilgili uygulamaları devre dışı bırakın.
- Kimlik bilgilerinden şüphelenilen veya potansiyel kötü amaçlı etkinlik nedeniyle tehlikeye atıldığı gözlemlenen kullanıcılar ve hizmetler için oturum açma, belirteç verme ve diğer hesap etkinliği günlüklerini inceleyin.
ED 24-02 gereklilikleri yalnızca FCEB kurumları için geçerli olsa da Microsoft kurumsal hesaplarının sızdırılması, ilgili Microsoft hesap ekiplerinden rehberlik almaları istenen diğer kuruluşları etkileyebilir.
Etkisi ne olursa olsun tüm kuruluşların, güçlü parolalar kullanmak, mümkün olduğunda çok faktörlü kimlik doğrulamayı (MFA) etkinleştirmek ve korumasız hassas bilgileri güvenli olmayan kanallar aracılığıyla paylaşmaktan kaçınmak da dahil olmak üzere sıkı güvenlik önlemleri alması da önemlidir.
APT29’un Microsoft saldırıları
Ocak ayında Microsoft, APT29 bilgisayar korsanlarının (aynı zamanda Midnight Blizzard ve NOBELIUM olarak da takip edilir), eski üretim dışı test kiracı hesabının ele geçirilmesine yol açan bir parola sprey saldırısının ardından kurumsal e-posta sunucularını ihlal ettiğini açıkladı.
Şirket daha sonra test hesabında MFA’nın etkin olmadığını ve bilgisayar korsanlarının Microsoft’un sistemlerine erişmesine izin verdiğini açıkladı.
Hesabın ayrıca Microsoft’un kurumsal ortamına yükseltilmiş erişimi olan ve saldırganların kurumsal posta kutularındaki verilere erişmesine ve bu verileri çalmasına olanak tanıyan bir OAuth uygulamasına da erişimi vardı. Bu e-posta hesapları, Microsoft’un liderlik ekibi üyelerine ve şirketin siber güvenlik ve hukuk departmanlarındaki açıklanmayan sayıda çalışana aitti.
APT29, bazı ABD federal kurumlarının ve Microsoft dahil çok sayıda şirketin ihlaliyle sonuçlanan 2020 SolarWinds tedarik zinciri saldırısından sonra ün kazandı.
Microsoft daha sonra saldırının Rus bilgisayar korsanlığı grubunun bazı Azure, Intune ve Exchange bileşenlerinin kaynak kodunu çalmasına izin verdiğini doğruladı.
Haziran 2021’de APT29 bilgisayar korsanları bir Microsoft kurumsal hesabını tekrar ihlal ederek onlara müşteri destek araçlarına erişim sağladı.