Siber Savaş / Ulus-Devlet Saldırıları, Dolandırıcılık Yönetimi ve Siber Suçlar, Devlet
ABD Siber Savunma Ajansı, Microsoft’un İhlalinin Ortasında Kurumlara Sistemleri Güçlendirme Talimatı Verdi
Chris Riotta (@chrisriotta) •
11 Nisan 2024
ABD siber savunma kurumu Perşembe günü federal kurumlara, Microsoft hesaplarını bir Rus Dış İstihbarat Servisi hack grubunun saldırılarına karşı korumak için acil adımlar atmaları yönünde talimat verdi.
Ayrıca bakınız: Banka, Finansal Hizmetlere Yönelik Daha Fazla Hedefli Saldırı Görüyor
Siber Güvenlik ve Altyapı Güvenliği Ajansı, kurumların kimlik bilgilerini sıfırlama, ilgili uygulamaları devre dışı bırakma ve potansiyel olarak kötü amaçlı faaliyetlere karşı hesap kayıtlarını inceleme gibi önlemler alması için bir direktifte acil durum yetkilerini devreye soktu.
Midnight Blizzard olarak bilinen tehdit aktörü, yönergeye göre Microsoft müşteri sistemlerine ek erişim sağlamak için kurumsal e-posta sistemlerinden sızdırılan bilgileri kullandı. Tehdit aktörü aynı zamanda APT29 ve Rahat Ayı olarak da biliniyor.
CISA, ihlalin “kurumlar için ciddi ve kabul edilemez bir risk teşkil ettiğini” söylerken, Microsoft’un bilgisayar korsanlığı grubunun “izinsiz giriş kampanyasının bazı yönlerinin hacmini artırdığı” yönündeki uyarılarını yineledi (bkz: Rus Devlet Hackerları Microsoft Kod Depolarına Erişti).
Yönerge, sert bir federal incelemenin Microsoft’u, 2023’te Çin öncülüğünde ayrı bir casusluk kampanyasına yol açan yetersiz bir güvenlik kültürünü teşvik etmekle suçlamasından birkaç gün sonra geldi (bkz: Rapor, Microsoft’u Çin Hack’indeki Güvenlik Hatalarından Dolayı Eleştiriyor).
CISA Direktörü Jen Easterly, yaptığı açıklamada, Rus devlet korsanlarının birden fazla üst düzey yöneticinin e-posta hesaplarını ilk kez ihlal ettiği Kasım ayının sonlarında başlayan Microsoft hack’inin devam eden etkilerinin ortasında, direktifin “federal sistemlerimize yönelik riski azaltmak için” yayınlandığını söyledi.
Easterly, “ABD hükümeti birkaç yıldır kötü niyetli siber faaliyetleri Rusya’nın taktik kitabının standart bir parçası olarak belgeledi” dedi ve şunu ekledi: “Microsoft’un bu son uzlaşması onların uzun listelerine bir yenisini daha ekliyor.”
Ocak ayında yayınlanan bir Microsoft blog gönderisine göre Midnight Blizzard, güvenliği ihlal edilmiş eski, üretim dışı bir test hesabına erişim sağlamak için parola sprey saldırısı kullandı ve sonunda diğer kurumsal e-posta hesaplarına erişmek için bir yer edindi.
Bilgisayar korsanları, diğerlerinin yanı sıra Microsoft’un üst düzey liderlik ekibinin üyelerinin yanı sıra şirketin siber güvenlik ve hukuk bölümlerindeki çalışanlarına kadar kurumsal zincirde yukarıya doğru ilerledi. Bilgisayar korsanları başlangıçta “Midnight Blizzard ile ilgili bilgiler için e-posta hesaplarını hedefliyor” gibi görünse de, CISA’dan gelen son uyarılar, kampanyalarının o zamandan bu yana kapsamının genişlediğini gösteriyor.
Ajansların ayrıca “güvenliği ihlal edilmiş Microsoft hesaplarıyla ilgili ajans yazışmalarının tüm içeriğini” belirlemek ve siber güvenlik etki analizleri gerçekleştirmek için adımlar atması da gerekiyor. Saldırıdan etkilenenlerin, tamamlanana kadar iyileştirme eylemlerine ilişkin haftalık güncellemelerin yanı sıra bir sonraki durum güncellemelerini 1 Mayıs’a kadar CISA’ya sunmaları gerekiyor.