Storm-0558 olarak izlenen bir Çin devleti gelişmiş kalıcı tehdit (APT) aktörü, birden fazla devlet kurumundaki e-posta hesaplarını hackledi ve Microsoft tarafından keşfedilip atılana kadar bir aydan fazla bir süre ortalıkta görünmeyi başardı.
Microsoft, aylık güvenlik güncellemeleriyle aynı zamana denk gelecek şekilde 11 Temmuz Salı günü yayınlanan bir açıklama bildiriminde, 16 Haziran’da başlayan müşteri bildirimlerine dayalı olarak yürüttüğü soruşturmanın ayrıntılarını açıkladı.
15 Mayıs’tan itibaren Storm-0558’in, edinilmiş bir Microsoft hesabı tüketici imzalama anahtarı aracılığıyla sahte kimlik doğrulama belirteçleri kullanarak 25 farklı kuruluştaki e-posta verilerine ve söz konusu kuruluşlarla ilişkili kişilerden daha az sayıda ilgili kişisel e-posta hesabına eriştiğini tespit etti.
Microsoft Güvenlik başkan yardımcısı Charlie Bell şunları söyledi: “Bu düşmanı değerlendiriyoruz. [Storm-0558] istihbarat toplamak için e-posta sistemlerine erişim elde etmek gibi casusluğa odaklanmıştır. Bu tür casusluk güdümlü düşman, kimlik bilgilerini kötüye kullanmaya ve hassas sistemlerde bulunan verilere erişim sağlamaya çalışır.
“Microsoft’un müşterilerle gerçek zamanlı araştırması ve işbirliği, müşterilerimizi Storm-0558’in izinsiz giriş girişimlerinden korumak için Microsoft Bulutunda korumalar uygulamamıza izin verdi” dedi. “Saldırıyı hafiflettik ve etkilenen müşterilerle iletişime geçtik. Ayrıca DHS CISA gibi ilgili devlet kurumlarıyla da ortaklık yapıyoruz. Etkilenen müşterileri korumaya ve sorunu çözmeye yardımcı olmak için bizimle birlikte çalıştıkları için onlara ve diğerlerine minnettarız. Hızlı, güçlü ve koordineli bir yanıt için topluluğumuza minnettarız.
Bell, “Hesap verebilirlik tam burada Microsoft’ta başlıyor” dedi. “Müşterilerimizi güvende tutma taahhüdümüzde kararlıyız. Anahtarlar ve belirteçler etrafında gelişen riskleri yönetmek için sürekli olarak kendi kendimizi değerlendiriyor, olaylardan öğreniyor ve kimlik/erişim platformlarımızı sağlamlaştırıyoruz.”
Belirteç doğrulama sorunu
HackerOne EMEA çözümleri mimarı Shobhit Gautam, izinsiz girişin temel nedeninin büyük olasılıkla bir belirteç doğrulama sorunu olduğunu açıkladı.
“[This] aktörler tarafından Azure Active Directory’nin kimliğine bürünmek için kullanıldı [AD] kullanıcılar ve kurumsal postaya erişim elde edin” dedi. “MSA anahtarı ve Azure AD anahtarları ayrı ayrı üretilip yönetildiği için, sorun doğrulama mantığında olacaktır.
“Başarılı bir istismar için, bir saldırganın hedefe özgü bilgileri (MSA Tüketici Anahtarları) toplaması gerekir ve bu nedenle istismar edilmesi oldukça karmaşık olacaktır. Bununla birlikte, saldırgan yazılımın her yerde bulunmasından dolayı önemli bir etkiye sahip olabilir,” dedi Gautam. “Tedarikçi ağındaki güvenlik açıklarından yararlanmak, saldırganın oyun kitabındaki önemli bir taktik haline geldi.
“Karmaşık güvenlik açığı riskini tanımlamanın en iyi yolu, bir saldırganın çok daha güçlü bir etki yaratmak için çeşitli zayıflıkları zincirlemek için nasıl kullanabileceğine bakan bir yabancının zihniyetini almaktır. Hükümet, savunmalarını güvence altına almak için insan zekasını kullanma güncellemesinde hızlı davrandı.”
Mandiant baş analisti John Hultquist şunları söyledi: “Çin siber casusluğu, çoğumuzun aşina olduğu parçala ve yakala taktiklerinden çok yol kat etti. Yeteneklerini, tespit edilmesi çok daha kolay olan geniş, gürültülü kampanyaların hakim olduğu bir yetenekten dönüştürdüler. Daha önce küstahtılar, ama şimdi açıkça gizliliğe odaklandılar.
“Bu aktörler, şüphelenmeyen kurbanları kötü amaçlı dosya veya bağlantıları açmaya yönlendirmek yerine, bizi zaten zorlayan yeni yöntemler geliştiriyor ve tasarlıyor. Sıfır gün dağıtımında akranlarına liderlik ediyorlar ve özellikle güvenlik cihazlarını hedef alarak bir niş oluşturdular.
“Hedeflenen sistemlere bağlanma biçimleri olan altyapılarını bile dönüştürdüler” dedi. “Basit bir proxy aracılığıyla veya doğrudan Çin’den geldikleri bir zaman vardı, ancak şimdi güvenliği ihlal edilmiş sistemlerin ayrıntılı, geçici proxy ağları aracılığıyla bağlanıyorlar. Çinli bir siber casusluk saldırısının rastgele bir ev yönlendiricisinden geçmesi alışılmadık bir durum değil. Sonuç, izlemesi ve tespit etmesi çok daha zor olan bir düşmandır.
“Gerçek şu ki, her zamankinden daha sofistike bir düşmanla karşı karşıyayız ve onlara ayak uydurmak için çok daha fazla çalışmamız gerekecek.”
Bu, Microsoft’un Çin devleti tarafından koordineli siber casusluk kampanyaları yürütmekle suçlanarak iki aydan kısa bir süre içinde ikinci kez kamuoyuna duyurulması oldu.
Mayıs ayının sonlarına doğru, Birleşik Krallık Ulusal Siber Güvenlik Merkezi ve Avustralya, Kanada, Yeni Zelanda ve ABD’deki muadilleriyle işbirliği içinde, kritik ulusal altyapı operatörlerini hedef alan Volt Typhoon adlı bir APT aktörünün hain faaliyetlerini vurguladı. ABD’nin bir Pasifik adası bölgesi olan Guam’daki yerler de dahil olmak üzere, Tayvan’ın varsayımsal bir Çin işgaline herhangi bir Batı tepkisinde muazzam askeri değere sahip olacak.
Çin hükümeti, Microsoft’u ve hükümet ortaklarını yanıt olarak “son derece profesyonelce davranmamakla” suçladı.