Siber Savaş / Ulus Devlet Saldırıları , E-posta Tehdidi Koruması , Dolandırıcılık Yönetimi ve Siber Suçlar
ABD Siber Güvenlik Yetkilileri Sıfır Gün Saldırısını Tespit Etmek İçin Günlükleri İzleyin
Mathew J. Schwartz (euroinfosec) •
17 Temmuz 2023
Çinli bilgisayar korsanlarından şüphelenilen kişiler, araştırmacıların Microsoft’un bulut ortamındaki sıfır gün kusuru olarak nitelendirdiği şeyi kullanarak üst düzey ABD yetkililerinin e-postalarına gizlice erişim sağladı. Kusur artık düzeltildi ve yetkililer herhangi bir uzlaşmanın nasıl tespit edileceğini paylaşıyor.
Ayrıca bakınız: İçeriden Gelen Tehditleri Durdurmak için Davranış Analitiği için Yapay Zeka ve Makine Öğrenmesi Nasıl Kullanılır?
Saldırının ayrıntıları ilk olarak Salı günü, Microsoft’un 15 Mayıs’tan itibaren bir bilgisayar korsanlığı grubunun devlet kurumları da dahil olmak üzere 25 farklı kuruluşa bağlı e-posta hesaplarına erişim kazandığını bildiren bir uyarı yayınlamasıyla kamuoyuna açıklandı. Microsoft, saldırganların bu kuruluşlara bağlı kişilerin kişisel e-posta hesaplarını da hedeflediğini söyledi (bkz: Çin Merkezli Hacker, AB ve ABD Hükümeti E-postalarını Ele Geçirdi).
Cuma günü yapılan bir güncellemede Microsoft, saldırının başarılı olmasını önlemek için müşterilerin yapabileceği hiçbir şey olmadığını söyledi. Bunun yerine, sorun “Microsoft kodundaki bir doğrulama hatasına” kadar izlendi ve bir saldırgan, Azure Active Directory belirteçlerini başarılı bir şekilde taklit etmek için etkin olmayan bir Microsoft hesabı – diğer adıyla MSA – tüketici imzalama anahtarını alıp kullanabildi.
Microsoft, “Aktörün anahtarı elde etme yöntemi devam eden bir soruşturma meselesidir” dedi. “Anahtar yalnızca MSA hesapları için tasarlanmış olsa da, bir doğrulama sorunu bu anahtarın Azure AD belirteçlerini imzalamak için güvenilir olmasına izin verdi. Bu sorun düzeltildi.”
Azure AD erişim belirteçleri, bir web API’sini çağırmaya çalıştıklarında istemcilerin kimliğini doğrulamak için kullanılır.
Uzmanlar, bu saldırının çok karmaşık olduğunu çünkü uzun bir belgelenmemiş özellik ve işlevsellik listesine dayandığını söylüyor. Siber güvenlik uzmanı Kevin Beaumont, bir Mastodon gönderisinde, “Microsoft dahili çalışanları hakkında kamuya açık olmayan büyük miktarda bilgi gerektiren son derece gelişmiş bir saldırıydı” dedi.
Beaumont, Microsoft olayı henüz sıfır gün saldırısı veya sistemlerinin ihlali olarak tanımlamasa da, “belirteç oluşturmak bir güvenlik açığıdır, bu nedenle sıfır gün” dedi.
Devlet ve Ticaret Departmanları Vuruldu
ABD hükümeti, federal bir sivil yürütme organı teşkilatının, denetim günlüklerinde olağandışı bir etkinlik gözlemledikten sonra saldırıyı tespit ettiğini ve teşkilatın Microsoft ile Siber Güvenlik ve Altyapı Güvenliği Teşkilatı’nı saldırıya karşı uyardığını söyledi. Saldırının kurbanları arasında ABD Dışişleri ve Ticaret bakanlıkları da vardı. Yetkililer, hiçbir gizli sistemin ihlal edilmediğini söylüyor.
Dışişleri Bakanlığı sözcüsü Matthew Miller Çarşamba günü gazetecilere verdiği demeçte, “Geçen ay, Dışişleri Bakanlığı anormal bir faaliyet tespit etti.”
Miller, “Hemen iki şey yaptık. Bir: Sistemlerimizin güvenliğini sağlamak için acil adımlar attık. İkincisi: Microsoft’u olaydan haberdar etmek için acil adımlar attık,” dedi. “Siber güvenlik politikası gereği, yanıtımızın ayrıntılarını tartışmıyoruz. Olay soruşturma altında ve sürekli olarak ağlarımızı izliyor ve güvenlik prosedürlerimizi güncelliyoruz.”
Ticaret Departmanı, Microsoft 365 sistemlerinin hedef alındığını ilk olarak Microsoft’tan öğrendiğini ve departmanın bulut hizmeti ortamlarını yasa dışı faaliyet belirtilerine karşı yakından izlemeye devam edeceğini söyledi.
Microsoft’un tehdit istihbarat ekibi, saldırının Storm-0558 adlı bir grup tarafından gerçekleştirildiğini ve Microsoft’un Çin’e bağlı “orta derecede güven” duyduğunu söyledi. Gelişmiş kalıcı tehdit grubu, APT31 veya Microsoft’un Violet Typhoon olarak adlandırdığı ve daha önce Zirkonyum olarak anılan APT31 gibi Pekin bağlantılı gruplarla “minimum düzeyde örtüşüyor” olsa da Microsoft, “Storm-0558’in kendi ayrı grubu olarak çalıştığına” inanıyor.
Grubun arkasında kimin olduğunu belirleyene kadar Microsoft, “yeni keşfedilen, bilinmeyen, ortaya çıkan veya gelişen tehdit etkinliği kümesine” atıfta bulunmak için “Fırtına” terimini kullanır. Storm, FireEye’ın “kategorize edilmemiş grup veya küme” için UNC kullanımına benzer.
İsmi açıklanmayan iki ABD’li yetkili CNN’e, saldırının Çin hükümetinin Dışişleri Bakanı Antony Blinken’in geçen ay Pekin’e yaptığı ziyaretten önce istihbarat toplama girişimi olduğuna inandıklarını söyledi.
CISA, ‘Kayıt Tut ve İzle’ Diyor
CISA ve FBI, kritik altyapı kuruluşlarına veya bulut ortamına sahip herhangi bir kuruluşa, sağlam günlük kaydı ve izleme yoluyla “siber duruşlarını geliştirmelerini ve benzer kötü niyetli etkinlikleri tespit edecek şekilde konumlanmalarını” tavsiye eden ortak bir uyarı yayınladı.
Ortak uyarı, Microsoft 365 kullanan kuruluşların denetim günlüğünü, farklı Microsoft 365 hizmetlerinde gerçekleştirilen etkinlikleri aramak için birleşik denetim günlüğünü ve Purview uyumluluk portalı adlı premium özelliği etkinleştirmesini önerir. Ayrıca, tüm bu günlüklerin gerekli tüm güvenlik personeli tarafından – güvenlik operasyonları merkezi dahil olmak üzere – tipik bir etkinlik için bir temel oluşturmak ve anormal kalıpları izlemek dahil olmak üzere aranabilmesini sağlamayı önerir.
Varsayılan olarak, Microsoft Purview günlükleri 90 gün boyunca saklar. CISA ve FBI, Microsoft günlüklerinin en azından federal kurumlar için daha uzun süre saklanması gerektiğini söyledi. Yönetim ve Bütçe Ofisi M-21-31 notu, federal sivil ajansların bulut hizmeti denetim günlüklerini aktif depolamada en az 12 ay ve soğuk depolamada 18 ay daha saklamasını gerektirir.
CISA ve FBI, “Bu, günlükleri bulut ortamından boşaltarak veya yerel olarak Microsoft aracılığıyla bir denetim günlüğü tutma ilkesi oluşturarak gerçekleştirilebilir.” Dedi.
Microsoft saldırıyı engellemese de yetkililer, Microsoft 365 ortamlarının günlüğe kaydedilmesi ve izlenmesinin, saldırıları hızlı bir şekilde tespit etmek ve teknoloji devinin altta yatan güvenlik açığını bulup ortadan kaldırmasını sağlamak için anahtar olduğunu söyledi. “CISA ve FBI, bu etkinliği tespit edebilecek diğer denetim günlüklerinden veya olaylardan haberdar değil” dediler ve kuruluşların “siber güvenlik duruşlarını geliştirmeleri ve benzer kötü niyetli etkinlikleri tespit edecek şekilde kendilerini konumlandırmaları” için sağlam günlük kaydının gerekli olduğunu da sözlerine eklediler.