Casusa karşı casusluk senaryosunda Microsoft, Midnight Blizzard (APT29 veya Cosy Bear olarak da bilinir) adlı bir grubun, Microsoft’un eski üretim dışı test kiracı hesabına erişim kazandığını kabul etti.
Microsoft’a göre grup, Kasım ayında, saldırganın başarılı olana kadar çok sayıda oturum açmayı denediği bir tür kaba kuvvet saldırısı olan parola püskürtme saldırısına tabi tuttuktan sonra hesaba erişmeyi başardı. Grup, bu dayanağı Microsoft’un bazı kurumsal e-posta hesaplarına erişmek ve bazı e-postaları ve ekli belgeleri çalmak için kullandı.
Genel olarak SVR olarak da bilinen Rusya Dış İstihbarat Servisi ile bağlantılı olan Cosy Bear, Microsoft’un bu konuda hangi bilgileri topladığını merak ediyor gibi görünüyor. Cozy Bear’ın genellikle SolarWinds saldırısının ve Dışişleri Bakanlığı, Beyaz Saray ve DNC dahil olmak üzere birçok ABD kurumuna yönelik saldırıların arkasında olduğuna inanılıyor. Bütün bu durumlarda Hollandalılar ABD istihbarat servislerini uyardı.
Microsoft’un saldırıyla ilgili araştırması, grubun müşteri verilerinin veya kurumsal bilgilerin peşinde olmadığını, bunun yerine eve daha yakın bir şeyin peşinde olduğunu gösterdi:
“Soruşturma, başlangıçta Midnight Blizzard’la ilgili bilgiler için e-posta hesaplarını hedeflediklerini gösteriyor.”
Şu ana kadar tehdit aktörünün müşteri ortamlarına, üretim sistemlerine, kaynak koduna veya yapay zeka sistemlerine erişimi olduğuna dair bir kanıt bulunmuyor ancak soruşturma halen devam ediyor. Microsoft, uygun görüldüğü takdirde ek ayrıntılar sağlayacağına söz verdi.
Genel olarak konuşursak, bir kuruluş ne kadar büyük olursa saldırı yüzeyi de o kadar büyük olur, ancak Microsoft gibi şirketlerde insanlar daha sıkı bir güvenlik bekler. Sonuçta aynı zamanda bir güvenlik yazılımı satıcısıdır. Dolayısıyla Rahat Ayı’nın aylarca fark edilmeden kalabilmesi pek çok kişi için sürpriz oldu.
Görünüşe göre saldırı Microsoft’u da korkuttu: Saldırganların ne kadar iyi finanse edildiği ve kaynaklara sahip olduğu göz önüne alındığında, siber korumayı geliştirme projesi olan Güvenli Gelecek Girişimi’ni hızlandırma ihtiyacı hissettiğini söylüyor.
“Mevcut güvenlik standartlarımızı Microsoft’un sahip olduğu eski sistemlere ve dahili iş süreçlerine uygulamak için, bu değişiklikler mevcut iş süreçlerinde kesintiye neden olsa bile derhal harekete geçeceğiz.”
Bu saldırı genellikle yabancı hükümetlerin ilgisini çekebilecek bilgilere sahip olan diğer tüm kuruluşlara yönelik bir uyarı olarak görülebilir.
Bir kuruluş ne kadar büyürse, eski hesapların var olma ve hatta ihmal edilme ihtimali de o kadar artar. Organizasyonu bir ofis binasıyla karşılaştırın: Ne kadar çok kapı ve pencere (kelime oyunu) mevcutsa, açık kalma şansı da o kadar artar. Artık kullanılmayan ofisler varsa açılma şansı katlanarak artıyor.
İş çözümlerimiz fidye yazılımının tüm kalıntılarını ortadan kaldırır ve yeniden virüse yakalanmanızı önler. İşletmenizi korumaya nasıl yardımcı olabileceğimiz hakkında daha fazla bilgi edinmek ister misiniz? Aşağıdan ücretsiz deneme sürümünü edinin.