Ulus devlet casusluk operasyonları, komuta ve kontrol (C2) ihtiyaçlarını karşılamak için giderek daha fazla yerel Microsoft hizmetlerini kullanıyor.
Son yıllarda ilgisiz birçok grup da aynı sonuca varmıştır: Kendi altyapılarını oluşturmak ve sürdürmek yerine, Microsoft’un kendi hizmetlerini hedeflerine karşı kullanmak daha ekonomik ve etkilidir. Meşru hizmetlerin kullanılması, kendi altyapılarını kurma ve sürdürme zorunluluğundan kurtulan maliyetler ve baş ağrılarının yanı sıra, saldırganların kötü niyetli davranışlarının meşru ağ trafiğine daha ustaca karışmasını sağlar.
Microsoft Graph’ın kullanışlı olduğu yer burasıdır. Graph, geliştiricilerin Microsoft bulut hizmetleri genelinde çok çeşitli verilere (e-posta, takvim etkinlikleri, dosyalar vb.) bağlanmak için kullandıkları bir uygulama programlama arabirimi (API) sunar. Kendi başına zararsızdır ve bilgisayar korsanlarının C2 altyapısını çalıştırması için kolay bir yol sağlar aynı bulut hizmetlerini kullanarak.
Örneğin yakın zamanda Symantec tehdit avcıları, Ukrayna’daki bir kuruluşa karşı kullanılan ve “BirdyClient” adını verdikleri yeni bir kötü amaçlı yazılım keşfettiler. BirdyClient’in amacı, OneDrive’ı kullanarak dosyaları yüklemek ve indirmek için Graph API’ye bağlanmaktır.
Dark Reading, Microsoft’tan bu hikaye hakkında yorum bekliyor.
Bilgisayar korsanları Microsoft Graph’ı kötüye kullanıyor
BirdyClient’tan çok önce, birkaç farklı Microsoft bulut hizmeti aracılığıyla komuta ve kontrol için ikinci aşama bir araç olan Bluelight vardı. İlk kez 2021 yılında keşfedildi ve tarafından geliştirildi. Kuzey Kore’nin APT37’si (diğer adıyla ScarCruft, Reaper, Group123).
Symantec’in baş istihbarat analisti Dick O’Brien, “Bunu siber suç gruplarında ve casusluk gruplarında sıklıkla görüyoruz: Birisi yeni bir teknik buluyor ve herkes onu kopyalıyor” diyor. “Burada durum böyle. Bundan nasıl yararlanabileceklerini anladılar ve şimdi tüm büyük oyuncular bu işe dahil oluyor.”
Bluelight’tan sonra Harvester grubu tarafından güney Asya’daki örgütlere karşı ulus devlet destekli bir casusluk operasyonunda kullanılan Backdoor.Graphon geldi. Ardından, Avrupa ve Asya’daki hükümetlere yönelik hedef odaklı kimlik avı saldırıları yoluyla yayılan Grafit ve Aralık 2022’de güneydoğu Asya dışişleri ofisinin ihlali sırasında ortaya çıkan SiestaGraph vardı.
Geçtiğimiz Haziran ayında, tarafından kullanılan Backdoor.Graphican getirildi. APT15 (aka Flea, Nickel, Vixen Panda, KE3CHANG, Royal APT ve Playful Dragon) Amerika’daki dışişleri bakanlıklarına karşı. Bir ay sonra araştırmacılar Rusya’nın Rahat Ayısını (diğer adıyla APT29, Pelerinli Ursa, UAC-0004, Midnight Blizzard/Nobelium) keşfettiler. aynı hileyi kullanarak Küresel diplomatik misyonlara yönelik saldırılarda Symantec, Kasım ayından itibaren henüz açıklamadığı Asya’daki bir hedefi içeren başka bir vaka tespit etti.
Sayısız farklılıklarına rağmen, bu durumlardaki tüm kötü amaçlı yazılımlar, başta OneDrive olmak üzere 365 hizmetten C2’ler oluşturmak için Graph API kullanımını paylaşıyor.
O’Brien, “Kuruluş açısından bakıldığında, onaylanmamış bulut hesapları kullanan kişiler konusunda daha bilinçli olmaya başlamanız gerekiyor” diyor. Ve bu sadece kötü niyetli saldırılar için geçerli değil. Örneğin, “İnsanların kişisel OneDrive hesaplarına bir iş ağından eriştiklerini söylediklerini duymak oldukça yaygındır. Bu bulut platformlarına toptan erişime izin vermenin tehlikesi, kötü amaçlı yazılımların tehlike işaretlerini artırma olasılığının daha düşük olmasıdır” diyor.
“Tüm bağlantıların kendi kiracılarınızla (kurumunuza ait hesaplar) olmasını sağlayın ve diğer her şeyi kilitleyin.”