Bulut Güvenliği , Siber Savaş / Ulus-Devlet Saldırıları , Dolandırıcılık Yönetimi ve Siber Suçlar
‘Midnight Blizzard’ 7 Aydır Şirket Ağındaydı
David Perera (@daveperera) •
24 Ocak 2024
Hewlett Packard Enterprise, mesai saatleri sonrasında yaptığı düzenleyici başvuruda, şüpheli Rus devlet korsanlarının yedi aydan fazla bir süre boyunca kurumsal e-posta gelen kutularına erişim elde ettiğini açıkladı.
Ayrıca bakınız: Ufuktaki Umut: Ekonomik Belirsizlik Sırasında Daha İyi Bir Siber Güvenlik Duruşu Nasıl Oluşturulur?
Silikon Vadisi’nin güçlü ismi, yatırımcılara Rusya Dış İstihbarat Servisi’nden olduğundan şüphelenilen bilgisayar korsanlarının bulut tabanlı e-posta hizmetine ilk kez Mayıs 2023’te sızdığını bildirdi.
Şirketin, 12 Aralık’a kadar bir bildirim aldıktan sonra ihlali tespit edemediği belirtildi. Düzenleyici dosyada, bilgisayar korsanlarının APT29 ve CozyBear olarak da bilinen “Midnight Blizzard” olduğuna “inanıldığı” belirtiliyor.
Microsoft yalnızca birkaç gün önce aynı bilgisayar korsanlarının üst düzey şirket yöneticilerinin gelen kutularına da sızdığını açıklamıştı. Beyaz Saray, bilgisayar korsanlarının SolarWinds tarafından geliştirilen BT altyapı yazılımına bir arka kapı yerleştirmesinin ardından tehdit aktörünü 2021’de Moskova’ya bağladı (bkz: Microsoft: Rus Hackerlar Yöneticilerin E-postalarına Erişebildi).
Şirket, bu son olaydaki bilgisayar korsanlarının “siber güvenlik, pazara açılma, iş segmentleri ve diğer işlevlerde görev alan kişilere ait küçük bir HPE posta kutusu yüzdesine” ulaştıklarını söyledi.
Düzenleyici başvuruda, e-posta saldırısının muhtemelen şirketin Haziran 2023’te öğrendiği aynı grup bilgisayar korsanlarının daha önceki etkinlikleriyle ilgili olduğu belirtildi. Bu etkinlik, Mayıs 2023’te HPE SharePoint sunucusuna yetkisiz erişim ve “sınırlı sayıda dosyanın sızdırılması”nı içeriyordu. ”
Tehdit istihbaratı firması Mandiant, Ağustos 2022’de Rus bilgisayar korsanlığı grubunun her yerde bulunan üretkenlik ve bulut depolama uygulamaları paketi Microsoft 365’e özellikle dikkat ettiği konusunda uyardı. Midnight Blizzard, izlerini gizlemek için Microsoft bulutundaki sanal makineleri kullandı (bkz.: Rusya’nın APT29’u Microsoft 365 Kullanıcılarını Hedefliyor).
Nisan 2021 tarihli bir tavsiye belgesine göre federal hükümet, grubun bulut kaynaklarını, özellikle de e-postayı hedeflemeye yöneldiğini ve kötü amaçlı yazılımlara daha az güvenmeye başladığını 2018 gibi erken bir zamanda fark etti.
Bir şirket temsilcisi, “soruşturmamız bizi, çok dikkatli bir şekilde, bunun siber olaylarla ilgili yeni SEC düzenlemelerinin ruhuna uygun olacağı sonucuna varmamıza yönlendirdikten sonra” hack’i açıklamaya karar verdiğini söyledi. ABD Menkul Kıymetler ve Borsa Komisyonu, geçen yıl, halka açık ticaret yapan büyük şirketlerin, önemliliğin belirlenmesinden sonraki dört iş günü içinde “önemli siber güvenlik olaylarını” açıklamasını gerektiren düzenlemelerin Aralık ayında yürürlüğe girmesi yönünde oy kullandı.*
HPE, olayın şu ana kadar operasyonları üzerinde önemli bir etkisinin olmadığını ancak mali durumu üzerindeki potansiyel etkisinin henüz görülmediğini söyledi. Şirket işlem gününü %1,68 artışla tamamladı ancak mesai sonrası işlemlerde %1,02 düşüş yaşadı. HPE, bu ayın başlarında ağ ekipmanı üreticisi Juniper Networks ile 14 milyar dolarlık bir satın alma anlaşması yaptığını duyurduğunda, anlaşmanın birleşik şirketleri gelişen yapay zeka pazarı için konumlandırmanın bir yolu olduğunu öne sürerek haber yaptı (bkz: HPE, Yapay Zeka ve Ağı Güçlendirmek İçin Juniper’ı 14 Milyar Dolara Satın Alacak).
*25 Ocak 2024 00:35 UTC’de güncellendi: HPE’den yorum eklendi.
Massachusetts’teki Bilgi Güvenliği Medya Grubu’ndan Michael Novinson’un raporuyla