Çin bağlantılı bir tehdit grubu içeri girdi e-posta hesapları Microsoft Salı günü yaptığı açıklamada, en az bir federal kurum da dahil olmak üzere 25 farklı kuruluşta tehdit araştırma raporu.
Microsoft, Storm-0558 olarak izlediği tehdit aktörünün, bu kuruluşlarla ilişkili kişilerin tüketici e-posta hesaplarına da erişim sağladığı konusunda uyardı. Microsoft, bilgisayar korsanlığı grubunun genellikle casusluk, veri hırsızlığı ve kimlik bilgilerine erişim için Batı Avrupa hükümetlerini hedef aldığını söyledi.
Google Cloud’da Mandiant’ın baş analisti John Hultquist yaptığı açıklamada, “Çin siber casusluğu, çoğumuzun aşina olduğu parçala ve yakala taktiklerinden çok yol kat etti” dedi. “Kalitelerini, tespit edilmesi çok daha kolay olan geniş, gürültülü kampanyaların hakim olduğu bir yetenekten dönüştürdüler.”
Siber Güvenlik ve Altyapı Güvenliği Ajansı ve FBI, daha sonra New York Times tarafından Dışişleri Bakanlığı olarak tanımlanan federal bir sivil kurumdaki yetkililerin tespit edildiğini söyledi. Microsoft 365’lerinde olağandışı etkinlik ortamı Haziran ayı ortasında ve Microsoft’u olay hakkında bilgilendirdi.
Ulusal Siber Direktör Vekili Kemba Walden, “Burada ima edilen şey, danışma belgesinde atıfta bulunulan ABD hükümeti müşterisinin sorunu tanımlayabildiği, sorunu hafifletmek için Microsoft ve CISA ile birlikte çalışabildiği ve CISA ve FBI’ın bir danışma belgesi hazırlayabildiğidir.” Ulusal siber güvenlik stratejisine ilişkin ayrı bir konferans görüşmesi sırasında Çarşamba öğleden sonra söyledi.
Walden, “Stratejinin özünde ve açıkçası uygulama planının merkezinde, kesinti sürelerinin hızlı olmasını ve etkinin felaketle sonuçlanmamasını sağlamak için kamu sektörü ile özel sektör arasındaki işbirliği tam olarak budur” dedi. .
Microsoft araştırdı ve gelişmiş bir kalıcı tehdit aktörünün az sayıda hesaptan sınıflandırılmamış Exchange Online Outlook verilerine erişim sağladığını ve bu verileri çaldığını fark etti. Microsoft ve federal yetkililer, etkinliğin Mayıs ayında başladığını ve yaklaşık bir ay sürdüğünü belirledi.
Federal yetkililer saldırıları belirli bir ülkeye atfetmedi, ancak bir APT aktörünün olaya karıştığını doğruladı.
Dışişleri Bakanlığı yetkilileri, ajansın saldırıya uğradığını doğruladı, ancak nasıl yanıt verdiklerine dair ayrıntı vermeyi reddetti.
Bir sözcü e-posta yoluyla, “Dışişleri Bakanlığı anormal bir faaliyet tespit etti, sistemlerimizin güvenliğini sağlamak için acil adımlar attı ve daha fazla faaliyeti yakından izlemeye ve hızlı bir şekilde yanıt vermeye devam edecek” dedi. “Siber güvenlik politikası gereği, yanıtımızın ayrıntılarını tartışmıyoruz ve olay soruşturma altında.”
Sözcü, ajansın “sistemlerimizi ve bilgilerimizi korumak için güçlü bir siber güvenlik programına sahip olduğunu ve dayanıklılık oluşturmak ve kötü niyetli aktörlerin önünde kalmak için sürekli çalıştığını” ekledi. “Ağlarımızı sürekli izliyor ve güvenlik prosedürlerimizi güncelliyoruz.”
Microsoft’a göre bilgisayar korsanları, bir Microsoft tüketici imzalama anahtarıyla e-postaya erişmek için sahte kimlik doğrulama belirteçleri kullandı. Hedeflenen kuruluşlardaki az sayıda kişi de bilgisayar korsanları tarafından vuruldu. Federal yetkililer, saldırıların temel nedenini hâlâ araştırdıklarını söyledi.
Üst düzey bir CISA yetkilisi Çarşamba günü medyayla yaptığı konferans görüşmesinde saldırıdan etkilenen ABD kuruluşlarının toplam sayısının tek haneli rakamlarda olduğunu doğruladı.
CISA ve FBI, kritik altyapı sağlayıcılarını denetim günlüğünü etkinleştirmeye çağırıyor. Yetkililer, görüşme sırasında bulutlarında veya şirket içi ortamlarında olağandışı etkinlik tespit eden herhangi bir kuruluşun CISA veya FBI ile iletişime geçmesi gerektiğini söyledi.