Çinli Storm-0558, 15 Mayıs 2023’ten bu yana casusluk amacıyla e-posta erişimi için sahte jetonlar kullanarak devlet kurumları da dahil olmak üzere 25 kuruluşu hackledi.
Ancak Storm-0558’in kampanyası, diğer ortamları etkilemeden Microsoft tarafından engellendi. Sadece bu da değil, Microsoft ayrıca hedeflenen tüm müşterilere sistemlerini güvence altına almaları konusunda bildirimde bulunarak derhal harekete geçti.
Şaşırtıcı bir şekilde Microsoft, Çinli bilgisayar korsanlarının Exchange Online ve Azure AD hesaplarını ihlal etmek için etkin olmayan bir Microsoft hesabı imzalama anahtarını nasıl edindiğinden habersiz.
Olayın Nedeni Bilinmiyor!
16 Haziran 2023’te kötü amaçlı kampanyayı keşfettiğinden beri Microsoft aşağıdakileri başardı:-
- Temel nedeni hızla ele aldı
- Kötü niyetli faaliyetleri durdurdu
- Güçlendirilmiş çevre
- Etkilenen tüm müşteriler bilgilendirildi
- Devlet kurumlarıyla işbirliği yapıldı
Microsoft, tehdit aktörlerinin anahtarı elde etme veya anahtara erişme yolunun şu anda soruşturma altında olduğunu doğruladı.
ABD hükümet yetkilileri, olay raporunu tetikleyen devlet kurumlarının birden çok Exchange Online e-posta hizmetine yetkisiz erişim tespit etti.
Microsoft tarafından gözlemlenen Storm-0558, öncelikle aşağıdaki varlıkları hedefler: –
- ABD ve Avrupa yönetim organları
- Tayvan ile ilgili kişiler
- Uygur çıkarlarıyla ilgili kişiler
- Medya şirketleri
- Düşünce kuruluşları
- Telekom sağlayıcıları
Bunun yanı sıra birincil amaçları, hedeflenen kuruluşların çalışanlarının yetkisiz e-posta hesabı erişimini sağlamaktır.
Microsoft tarafından, Outlook Web Access (OWA) aracılığıyla Storm-0558’in müşteri Exchange Online verilerine eriştiği keşfedildi. Başlangıçta, aktörün virüslü cihazlarda kötü amaçlı yazılım kullanarak Azure AD belirteçlerini çaldığına inanılıyordu.
Microsoft’taki güvenlik araştırmacıları, tehdit aktörünün, bu kötüye kullanıma izin veren Microsoft kodundaki bir doğrulama hatası olan, edinilmiş bir MSA tüketici imzalama anahtarını kullanarak Azure AD belirteçlerini taklit ettiğini keşfetti.
Hackerlar Tarafından Kullanılan Teknikler
Bu olay sırasında tehdit aktörleri tarafından kullanılan teknikler aşağıda belirtilmiştir:-
- Jeton sahteciliği: E-posta gibi kaynak erişimi arayan varlıkların kimliği, kimlik doğrulama belirteçleri tarafından doğrulandı ve Azure AD gibi kimlik sağlayıcılar, bu belirteçleri talep eden varlığa verir ve kimlik doğrulama için özel bir anahtarla imzalar. Güvenen taraflar, belirteçleri bir genel anahtar kullanarak doğrularken, ancak özel bir imzalama anahtarı elde etmek, bir aktörün geçerli imzalarla belirteçler oluşturmasına, güvenen tarafları kandırmasına ve toplamda “belirteç sahteciliği” olarak bilinir.
- Erişim için kimlik teknikleri: Tehdit aktörü, sahte belirteci kullanarak, GetAccessTokenForResource API’sinden Exchange Online erişim belirteçlerini almak için kimliği doğruladı ve OWA API’sine erişti. Bir tasarım kusuru, aktörün önceden verilmiş bir belirteci sunmasına izin verdi, ancak yalnızca Azure AD veya MSA belirteçlerini kabul edecek şekilde düzeltildi. Tehdit aktörü, OWA API’sinden bu belirteçlerle posta mesajlarını aldı.
Storm-0558’in Saldırıları Gerçekleştirme Yolları
Ayrıca, Storm-0558, OWA Exchange Store hizmetine erişmek için şunlardan yararlanır:-
- Güç kalkanı
- Python betikleri
- REST API çağrıları
Tor veya sabit kodlu SOCKS5 proxy sunucuları aracılığıyla, web istekleri gönderilir ve tehdit aktörü, istekleri yayınlamak için aşağıdakiler gibi çeşitli Kullanıcı Aracıları kullanır: –
- Client=REST;Client=RESTSystem;;
- Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, Gecko gibi) Chrome/92.0.4515.159 Safari/537.36
- Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, Gecko gibi) Chrome/106.0.0.0 Safari/537.36 Edg/106.0.1370.52
- “Microsoft Edge”;v=”113″, “Chromium”;v=”113″, “Bir Marka Değil”;v=”24″
Taşıyıcı erişim belirteçleri ve e-posta bilgileri de dahil olmak üzere hassas veriler, tehdit aktörü tarafından OWA API çağrıları yapmak için kullanılan komut dosyalarına sabit olarak kodlanmıştır. Ek olarak, gelecekteki OWA komutları için tehdit aktörü erişim belirtecini yenileyebilir.
Storm-0558, SoftEther proxy yazılımıyla kapsamlı bir şekilde tahsis edilmiş altyapıyı kullandı ve tespit ve ilişkilendirme için zorluklar ortaya çıkardı.
Microsoft Tehdit İstihbaratı, bu proxy altyapısının profilini başarılı bir şekilde çıkardı ve bunu aktörün yanıtları sırasında izinsiz giriş teknikleriyle ilişkilendirdi.