Salı günü Microsoft, gizli verileri elde etmek için tasarlanmış bir siber casusluk kampanyasında, bazıları devlet kurumlarının da dahil olduğu iki düzine kuruluşu hedef alan bir Çinli ulus-devlet aktörü tarafından düzenlenen bir siber saldırıyı püskürttüğünü açıkladı.
15 Mayıs 2023’te başlayan saldırılar, yaklaşık 25 kuruluşu ve az sayıda ilgili bireysel tüketici hesabını etkileyen e-posta hesaplarına erişim gerektirdi.
Teknoloji devi, kampanyayı Storm-0558’e bağladı ve bunu, esas olarak Batı Avrupa’daki devlet kurumlarını öne çıkaran Çin merkezli bir ulus-devlet faaliyet grubu olarak tanımladı.
Microsoft, “Casusluk, veri hırsızlığı ve kimlik bilgilerine erişime odaklanıyorlar” dedi. “Ayrıca, kimlik bilgilerine erişim için Microsoft’un Cigril ve Bling olarak izlediği özel kötü amaçlı yazılımları kullandıkları da biliniyor.”
İhlalin bir ay sonra 16 Haziran 2023’te, kimliği belirsiz bir müşterinin anormal e-posta etkinliğini Microsoft’a bildirmesinin ardından tespit edildiği söyleniyor.
Microsoft, tüm hedeflenen veya güvenliği ihlal edilmiş kuruluşları doğrudan kiracı yöneticileri aracılığıyla bilgilendirdiğini söyledi. Etkilenen kurum ve kuruluşların adları ile saldırıya uğramış olabilecek hesapların sayısı belirtilmedi.
Redmond’a göre müşteri e-posta hesaplarına erişim, kimlik doğrulama belirteçleri oluşturarak Exchange Online (OWA) ve Outlook.com’daki Outlook Web Access aracılığıyla kolaylaştırıldı.
“Aktör, OWA ve Outlook.com’a erişmek için belirteçleri taklit etmek için edinilmiş bir MSA anahtarı kullandı” diye açıkladı. “MSA (tüketici) anahtarları ve Azure AD (kurumsal) anahtarları, ayrı sistemlerden verilir ve yönetilir ve yalnızca kendi sistemleri için geçerli olmalıdır.”
“Aktör, Azure AD kullanıcılarının kimliğine bürünmek ve kurumsal postaya erişim elde etmek için bir belirteç doğrulama sorunundan yararlandı.”
İçeriden Gelen Tehditlere Karşı Kalkan: SaaS Güvenlik Duruş Yönetiminde Ustalaşın
İçeriden gelen tehditler konusunda endişeli misiniz? Seni koruduk! SaaS Güvenlik Duruş Yönetimi ile pratik stratejileri ve proaktif güvenliğin sırlarını keşfetmek için bu web seminerine katılın.
Bugün katıl
Tehdit aktörünün saldırıları gerçekleştirmek için Azure AD anahtarlarını veya başka herhangi bir MSA anahtarını kullandığına dair bir kanıt yoktur. Microsoft, o zamandan beri saldırıyı azaltmak için OWA’da edinilen MSA anahtarıyla imzalanan belirteçlerin kullanımını engelledi.
Microsoft Security Başkan Yardımcısı Charlie Bell, “Bu tür casusluk güdümlü düşman, kimlik bilgilerini kötüye kullanma ve hassas sistemlerde bulunan verilere erişim elde etme peşindedir” dedi.
Açıklama, Microsoft’un ABD’de Volt Typhoon (Bronz Siluet veya Vanguard Panda olarak da bilinir) adlı Çinli bir hasım topluluğu tarafından düzenlenen kritik altyapı saldırılarını ifşa etmesinden bir aydan uzun bir süre sonra geldi.