Microsoft, Rusya'nın dış istihbaratıyla bağlantılı bilgisayar korsanlarının, ürünleri ABD ulusal güvenlik teşkilatında yaygın olarak kullanılan teknoloji devine yeni erişim sağlamak için Ocak ayında kurumsal e-postalardan çalınan verileri kullanarak Rusya'nın sistemlerine yeniden girmeye çalıştıklarını söyledi.
Açıklama, ABD hükümetine dijital hizmetler ve altyapı sağlayan dünyanın en büyük yazılım üreticilerinden biri olan Microsoft'un sistem ve hizmetlerinin güvenliğine ilişkin endişelerini dile getiren bazı analistleri alarma geçirdi.
Analistler ulusal güvenlik riskleri konusundaki endişelerini dile getirdi. Microsoft, izinsiz girişlerin arkasında Midnight Blizzard veya Nobelium adlı Rus devleti destekli bir grubun olduğunu söyledi.
Washington'daki Rusya büyükelçiliği, Microsoft'un açıklamasına ilişkin yorum talebine hemen yanıt vermedi ve Microsoft'un Midnight Blizzard etkinliğiyle ilgili daha önceki açıklamalarına da yanıt vermedi.
Microsoft, hackerların üst düzey şirket liderlerinin yanı sıra siber güvenlik, hukuk ve diğer işlevler de dahil olmak üzere kurumsal e-posta hesaplarına girmeye çalıştıklarını Ocak ayında açıklamıştı.
Teknoloji firması yeni bir blogda şunları söyledi: “Son haftalarda Midnight Blizzard'ın, başlangıçta kurumsal e-posta sistemlerimizden sızan bilgileri yetkisiz erişim elde etmek veya elde etmeye teşebbüs etmek için kullandığına dair kanıtlar gördük.”
Siber güvenlik firması Malwarebytes' Threatdown Labs'ın baş tehdit araştırmacısı Jerome Segura, Microsoft'un geniş müşteri ağı göz önüne alındığında hedef alınmasının şaşırtıcı olmadığını söyledi.
Microsoft'un erişimi engelleme çabalarına rağmen saldırının hala devam etmesinin sinir bozucu olduğunu da sözlerine ekledi.
Segura, “En büyük yazılım satıcılarından birinin, ilerledikçe bir şeyler öğreniyor olması biraz korkutucu” dedi.
“Eğer bir müşteriyseniz, daha büyük bir şey olmayacağına dair güvenceniz yok.”
Saldırıların aynı zamanda bilgisayar korsanlarının ne kadar agresif olduğunun bir kanıtı olduğunu da sözlerine ekledi.
Microsoft, bilgisayar korsanlarının çaldığı veriler arasında kaynak kod depolarına ve dahili sistemlere erişimin de bulunduğunu söyledi.
Malwarebytes'ten Segura, şirketin çeşitli uygulamalar için halka açık bir yazılım kodu deposu olan GitHub'a sahip olduğunu söyledi.
Segura, “Bu gerçekten endişelendiğimiz türden bir şey” dedi. “Saldırgan, üretim ortamlarına girmek için (Microsoft'un) sırlarını kullanmak, ardından yazılımı tehlikeye atmak ve arka kapılar ve buna benzer şeyler koymak isteyecektir.”
Daha önce Microsoft, bilgisayar korsanlarının, “şifre spreyi” saldırısı yoluyla hareketsiz bir hesabı kullanarak personelin e-postalarına sızdıklarını, birden fazla hesapta aynı şifreyi tek bir hesaba girene kadar kullandıklarını söylemişti.
Microsoft'un blogunda, bu tür saldırıların Midnight Blizzard'ın son girişimlerinde Ocak ayındaki ihlalle karşılaştırıldığında on kat arttığı belirtildi.
Kıdemli başkan yardımcısı Adam Meyers, “Bu çok hedefli bir şey gibi görünüyor ve eğer (bilgisayar korsanları) Microsoft'un bu kadar derinliklerindeyse ve Microsoft onları iki ay içinde dışarı çıkaramamışsa, o zaman büyük bir endişe var” dedi. Ulus devlet hacklemelerini takip eden siber güvenlik firması Crowdstrike'ın başkanı.
'Farklı türlerin sırları'
Grubu takip eden çeşitli analistlere göre Midnight Blizzard'ın hükümetleri, diplomatik kurumları ve sivil toplum kuruluşlarını hedef aldığı biliniyor.
Ocak ayı açıklamasında Microsoft, Midnight Blizzard'ın muhtemelen şirketin hack grubunun operasyonlarını ortaya çıkarmak için sağlam bir araştırma yapması nedeniyle onu hedef aldığını söyledi.
Microsoft'un tehdit istihbarat ekibi, Nobelium'un bir dizi ABD devlet kurumunu tehlikeye atan SolarWinds siber saldırısının arkasında olduğunun tespit edildiği en az 2021 yılından bu yana Nobelium ile ilgili araştırmaları araştırıyor ve paylaşıyor.
Şirket, Microsoft'u ihlal etmeye yönelik ısrarlı girişimlerin “tehdit aktörünün kaynaklarına, koordinasyonuna ve odağına yönelik sürekli ve önemli bağlılığın” bir işareti olduğunu söyledi.
“Midnight Blizzard'ın bulduğu farklı türden sırları kullanmaya çalıştığı açık” diye ekledi.
“Bu sırlardan bazıları müşteriler ve Microsoft arasında e-posta yoluyla paylaşıldı ve bunları sızdırılan e-postalarımızda keşfettiğimizde, hafifletici önlemler almalarına yardımcı olmak için bu müşterilere ulaştık ve ulaşmaya devam ediyoruz.”
Microsoft, etkilenen müşterilerin adını vermedi.