Arkasındaki Rusya bağlantılı hackerlar Microsoft’un dahili sistemlerine yönelik saldırı Kasım ayı sonlarında başlayacak Siber yetkililer Perşembe günü yaptığı açıklamada, saldırganın hükümet departmanlarını tehlikeye atmak için kullanılabilecek federal kurumların kimlik bilgilerini çaldığını söyledi.
Siber Güvenlik ve Altyapı Güvenliği Ajansı bir rapor yayınladı acil durum direktifi 2 Nisan’da bu perşembe günü kamuoyuna açıklandıFederal kurumların kimlik bilgilerini sıfırlamasını ve olası ihlalleri veya kötü niyetli etkinlikleri araştırmasını zorunlu kılıyor. Bu eylemleri CISA’ya bildirmek için son tarih 8 Nisan’dı.
CISA’nın siber güvenlikten sorumlu yönetici yardımcısı Eric Goldstein Perşembe günü bir medya brifinginde şunları söyledi: “Ajanslar, potansiyel olarak ifşa edilmiş kimlik bilgilerinin herhangi bir örneğini düzeltmek için olağanüstü bir aciliyetle harekete geçti.” “Şu anda, kimlik bilgilerinin açığa çıkması sonucunda bir uzlaşma yaşayan herhangi bir ajans üretim ortamının farkında değiliz.”
CISA’ya göre, Microsoft ve birkaç federal kurum, e-posta yoluyla kimlik bilgileri alışverişinde bulundu ve bu, kabul edilemez bir risk ve kötü niyetli bir gruba maruz kalma yarattı. Goldstein bu durumlarda kimlik bilgilerinin neden paylaşıldığını söylemeyi reddetti ancak belirtilen oturum açma bilgilerinin bazen bir sorun giderme bildiriminin parçası olarak veya bir sorunu çözmek için bir kod pasajının parçası olarak paylaşıldığı belirtildi.
Goldstein, “Bu kesinlikle en iyi uygulama değil ve önemli derecede riskle ilişkilendirilen bir uygulama” dedi.
Microsoft’un Midnight Blizzard olarak tanımladığı ve aynı zamanda APT29 veya Cosy Bear olarak da bilinen Rusya devleti destekli tehdit grubu, geçen ay şirketin altyapısına daha fazla erişim kazanmak veya elde etme girişiminde bulunmak için Kasım ayı sonlarında hâlâ Microsoft’un sistemlerinden çaldığı sırları kullanıyordu. Şirket, Menkul Kıymetler ve Borsa Komisyonu’na sunduğu bir dosyada bunu söyledi.
Ulus-devlet grubu, 2020 yılında Sunburst saldırılarını, SolarWinds ve diğer şirketleri başlattığında Nobelium olarak biliniyordu.
CISA, Microsoft’un potansiyel risk konusunda kaç kurumu bilgilendirdiğini veya hangi kurumların acil durum direktifine uyması gerektiğini belirtmeyi reddetti.
Goldstein, “Federal kimlik doğrulama bilgilerinin Midnight Blizzard aktörüne ifşa edilmesinin federal kuruluş için acil bir risk teşkil etme potansiyelini değerlendireceğiz” dedi.
Microsoft bağlantılı ifşalara ilişkin soruşturma devam ediyor
ABD hükümeti, sayısız federal kurumu kapsayan ifşa ağına ve potansiyel olarak tehlikeye atılmış pozisyona rağmen, iyileştirme desteği ve nelerin risk altında olduğuna dair devam eden soruşturma konusunda yardımcı olması için hâlâ Microsoft’a güveniyor.
“Kurumlar, kimlik bilgilerinin gerçekten ifşa edilip edilmediğini veya bunlara erişilip erişilmediğini değerlendirmek için Microsoft’tan gelen bilgilere dayanarak analiz yapıyor. Bu analiz devam ediyor” dedi Goldstein.
Yorum istendiğinde Microsoft, geçen hafta Siber Güvenlik Dalışına gönderdiği yanıtı tekrarladı. “8 Mart’taki blogumuzda paylaştığımız gibi, sızdırılan e-postalarımızdaki sırları keşfederken, müşterilerimizle birlikte çalışarak bunların araştırılmasına ve hafifletilmesine yardımcı oluyoruz. Bir Microsoft sözcüsü, buna, devlet kurumlarına rehberlik sağlamak üzere bir acil durum direktifi üzerinde CISA ile birlikte çalışmayı da içeriyor” dedi.
Midnight Blizzard’ın ısrarı ve bazı durumlarda Microsoft’a yönelik saldırılarının artması, teknoloji devinin bu ihtiyacın altını çiziyor. iç güvenlik uygulamalarını elden geçirmek.
CISA’nın acil durum direktifi aynı gün yayınlandı. Siber Güvenlik İnceleme Kurulu lanetleyici bir rapor yayınladı Mayıs 2023’te Çin’e bağlı bir tehdit grubunun Microsoft Exchange hesaplarını ele geçirmesine olanak tanıyan “Microsoft’taki bir dizi güvenlik hatası” hakkında.
Microsoft’un Storm-0558 olarak tanımladığı bir ulus devlet grubunun saldırısı 22 kuruluş ve 500’den fazla kişinin e-postaları ele geçirildiÜst düzey ABD’li yetkililer de dahil. Raporda CSRB, Microsoft’un bu izinsiz girişin temel nedenini henüz belirlemediğini belirtti.
Goldstein, “CISA ve genel olarak ABD hükümeti, Microsoft’un daha geniş güvenlik kültürü ve kuruluşu için iyileştirme planlarında daha fazla ilerleme sağlamak amacıyla Siber Güvenlik İnceleme kurulunun tavsiyeleri doğrultusunda Microsoft ile yakın işbirliği içinde çalışıyor” dedi.