Çinli bilgisayar korsanları, Mayıs ayında Microsoft’un bulut tabanlı Exchange e-posta platformunu ihlal ettikten sonra ABD Dışişleri Bakanlığı hesaplarından on binlerce e-postayı çaldı.
Reuters’in ilk bildirdiği gibi, yakın tarihli bir Senato personeli brifinginde ABD Dışişleri Bakanlığı yetkilileri, saldırganların Doğu Asya, Pasifik ve Avrupa’da görev yapan Dışişleri Bakanlığı yetkililerine ait Outlook hesaplarından en az 60.000 e-posta çaldığını açıkladı.
Ayrıca bilgisayar korsanları, departmanın tüm e-posta hesaplarını içeren bir listeyi ele geçirmeyi başardı. Tehlikeye atılan Dışişleri Bakanlığı personeli öncelikle Hint-Pasifik diplomasisi çabalarına odaklandı.
Senatör Eric Schmitt yaptığı açıklamada, “Gelecekte bu tür siber saldırılara ve izinsiz girişlere karşı savunmamızı güçlendirmemiz gerekiyor ve federal hükümetin potansiyel bir zayıf nokta olarak tek bir satıcıya bağımlı olmasını dikkatle incelememiz gerekiyor.” dedi.
“Çin ve diğer hain aktörlerin federal hükümetin en hassas bilgilerine erişmemesini sağlamak için meslektaşlarıma daha fazla yanıt verilmesi yönünde baskı yapmaya devam edeceğim.”
Temmuz ayında Microsoft, tehdit aktörlerinin 15 Mayıs 2023’ten itibaren yaklaşık 25 kuruluşla ilişkili Outlook hesaplarını başarıyla ihlal ettiğini açıkladı. Ele geçirilen kuruluşlar arasında ABD Dışişleri ve Ticaret Bakanlıkları ve muhtemelen bunlarla bağlantılı belirli tüketici hesapları yer alıyor.
Microsoft, etkilenen kuruluşlar, devlet kurumları veya bu e-posta ihlalinden etkilenen ülkelerle ilgili belirli ayrıntıları açıklamadı.
Ulusal Güvenlik Konseyi sözcüsü Adam Hodge, olayı temmuz ayında doğrulayarak saldırganların yalnızca sınıflandırılmamış sistemlere erişim elde ettiğini söyledi.
Hodge, “Geçen ay, ABD hükümeti güvenlik önlemleri Microsoft’un bulut güvenliğine, sınıflandırılmamış sistemleri etkileyen bir izinsiz giriş tespit etti” dedi.
“Yetkililer, bulut hizmetlerindeki kaynağı ve güvenlik açığını bulmak için derhal Microsoft ile temasa geçti. ABD Hükümeti’nin satın alma sağlayıcılarını yüksek bir güvenlik eşiğinde tutmaya devam ediyoruz.”
Çin siber casuslarıyla bağlantılı e-posta ihlalleri
Bu saldırılar, hedeflerinin e-posta sistemlerine sızarak hassas bilgiler elde etmeye odaklandığından şüphelenilen Storm-0558 olarak bilinen bir siber casusluk ekibine atfediliyor.
Bu ayın başlarında Microsoft, tehdit grubunun ilk olarak Windows çökme dökümünden bir tüketici imzalama anahtarı elde ettiğini açıkladı; bu ihlal, bir Microsoft mühendisinin devlet e-posta hesaplarına erişimi sağlayan kurumsal hesabının ele geçirilmesinin ardından kolaylaştırıldı.
Çalınan Microsoft Hesabı (MSA) anahtarı, GetAccessTokenForResourceAPI’de önceden yamalı bir sıfır gün doğrulama güvenlik açığından yararlanarak Exchange Online ve Azure Active Directory (AD) hesaplarının güvenliğini aşmak için kullanıldı. Bu kusur, saldırganların sahte imzalı erişim jetonları oluşturmasına ve hedeflenen kuruluşlardaki hesapların kimliğine bürünmelerine olanak tanıdı.
Güvenlik ihlaline yanıt olarak Microsoft, çalınan imzalama anahtarını iptal etti ve araştırmaların ardından, aynı erişim jetonu sahteciliği yöntemiyle müşteri hesaplarına yetkisiz erişime ilişkin başka bir örnek bulamadı.
Siber Güvenlik ve Altyapı Güvenlik Ajansı’nın (CISA) baskısı altında Microsoft, bulut günlük verilerine erişimi ücretsiz olarak genişletmeyi de kabul etti; bu, ağ savunucularının gelecekte benzer nitelikteki potansiyel ihlal girişimlerini tespit etmelerine yardımcı olacak.
Daha önce bu tür günlük kaydı yeteneklerine yalnızca Purview Audit (Premium) günlük kaydı lisanslarına sahip müşteriler erişebiliyordu. Bu nedenle Microsoft, kuruluşların Storm-0558’in saldırılarını derhal tespit etmesini engellediği için eleştirilere maruz kaldı.