Microsoft, yakın zamanda Rus hack grubu 'Midnight Blizzard' tarafından, Ocak ayı siber saldırısı sırasında çalınan kimlik doğrulama sırlarını kullanarak bazı iç sistemlerine ve kaynak kodu depolarına erişildiği konusunda uyarıyor.
Ocak ayında Microsoft, Midnight Blizzard'ın (diğer adıyla NOBELIUM) eski bir üretim dışı test kiracı hesabına erişime izin veren bir parola sprey saldırısı gerçekleştirdikten sonra kurumsal e-posta sunucularını ihlal ettiğini açıkladı.
Daha sonraki bir blog gönderisi, bu test hesabında çok faktörlü kimlik doğrulamanın etkinleştirilmediğini ve bu durumun tehdit aktörlerinin Microsoft'un sistemlerini ihlal etmek için erişim elde etmesine olanak sağladığını ortaya çıkardı.
Bu test kiracısı hesabının aynı zamanda Microsoft'un kurumsal ortamına yükseltilmiş erişimi olan bir OAuth uygulamasına da erişimi vardı. Bu yükseltilmiş erişim, tehdit aktörlerinin diğer kurumsal posta kutularına erişmek için daha fazla OAuth uygulamasına erişmesine olanak tanıdı.
Bugün Microsoft, Midnight Blizzard'ın son haftalarda şirketin bazı sistemlerine ve kaynak kodu depolarına erişim sağlamak için çalınan verilerde bulunan sırları kullandığını söylüyor.
Microsoft Güvenlik Yanıt Merkezi tarafından hazırlanan yeni bir blog gönderisinde, “Son haftalarda Midnight Blizzard'ın, başlangıçta kurumsal e-posta sistemlerimizden sızan bilgileri yetkisiz erişim elde etmek veya elde etmeye teşebbüs etmek için kullandığına dair kanıtlar gördük” deniyor.
“Bu, şirketin bazı kaynak kodu depolarına ve dahili sistemlerine erişimi de içeriyor. Bugüne kadar, Microsoft tarafından barındırılan, müşteriye yönelik sistemlerin güvenliğinin ihlal edildiğine dair hiçbir kanıt bulamadık.”
Microsoft bu “sırların” neleri içerdiğini tam olarak açıklamamış olsa da bunların kimlik doğrulama belirteçleri, API anahtarları veya kimlik bilgileri olması muhtemeldir.
Microsoft, Microsoft ile aralarında çalınan e-postalarda sırları tehdit aktörlerinin eline geçen müşterilerle iletişime geçmeye başladıklarını söylüyor.
“Midnight Blizzard'ın bulduğu farklı türden sırları kullanmaya çalıştığı açık. Bu sırlardan bazıları müşteriler ve Microsoft arasında e-posta yoluyla paylaşıldı ve bunları sızdırılan e-postamızda keşfettiğimizde, onlara ulaştık ve ulaşmaya devam ediyoruz. Microsoft, bu müşterilerin hafifletici önlemleri almalarına yardımcı olmak için “dedi.
Şirket, Midnight Blizzard'ın hedeflenen sistemlere yönelik şifre sprey saldırılarını da artırdığını, Microsoft'un Ocak 2024'te gördükleri hacme kıyasla Şubat ayında 10 kat artış gördüğünü söylüyor.
Parola spreyi, tehdit aktörlerinin potansiyel oturum açma adlarının bir listesini topladığı ve ardından uzun bir potansiyel parola listesi kullanarak bunların hepsinde oturum açmaya çalıştığı bir tür kaba kuvvet saldırısıdır. Bir şifre başarısız olursa, bu işlemi diğer şifrelerle, bitene veya hesabı başarıyla ihlal edene kadar tekrarlarlar.
Bu nedenle kimlik bilgileri doğru tahmin edilse bile işletmenin tüm hesaplarda MFA'yı erişimi engelleyecek şekilde yapılandırması gerekir.
Microsoft, SEC'e sunduğu değiştirilmiş Form 8-K dosyasında, gelişmiş kalıcı tehdit aktörlerine karşı güçlendirmek için kuruluşları genelinde güvenliği artırdıklarını söylüyor.
8-K dosyasında “Güvenlik yatırımlarımızı, kurumlar arası koordinasyonu ve seferberliği artırdık ve kendimizi savunma ve çevremizi bu gelişmiş kalıcı tehdide karşı koruma ve güçlendirme yeteneğimizi geliştirdik” yazıyor.
“Tehdit aktörü ve olayla ilgili devam eden soruşturmayla ilgili olarak federal kolluk kuvvetleriyle koordinasyonu sürdürüyoruz.”