Microsoft Cuma günü, Kremlin destekli tehdit aktörünün Gece yarısı kar fırtınası (diğer adıyla APT29 veya Cozy Bear), Ocak 2024'te ortaya çıkan bir saldırının ardından bazı kaynak kodu depolarına ve dahili sistemlerine erişmeyi başardı.
Teknoloji devi, “Son haftalarda Midnight Blizzard'ın, başlangıçta kurumsal e-posta sistemlerimizden sızdırılan bilgileri yetkisiz erişim elde etmek veya elde etmeye teşebbüs etmek için kullandığına dair kanıtlar gördük” dedi.
“Bu, şirketin bazı kaynak kodu depolarına ve dahili sistemlerine erişimi de içeriyor. Bugüne kadar, Microsoft tarafından barındırılan, müşteriye yönelik sistemlerin güvenliğinin ihlal edildiğine dair hiçbir kanıt bulamadık.”
İhlalin kapsamını araştırmaya devam eden Redmond, Rus devleti destekli tehdit aktörünün, müşteriler ile Microsoft arasında e-posta yoluyla paylaşılanlar da dahil olmak üzere bulduğu farklı türdeki sırlardan yararlanmaya çalıştığını söyledi.
Ancak şirket, bu sırların ne olduğunu veya uzlaşmanın boyutunu açıklamadı ancak etkilenen müşterilere doğrudan ulaştığını belirtti. Hangi kaynak koduna erişildiği belli değil.
Güvenlik yatırımlarını artırdığını belirten Microsoft, saldırganın şifre sprey saldırılarını Ocak ayında gözlemlenen “zaten büyük hacim”e kıyasla Şubat ayında 10 kata kadar artırdığını kaydetti.
“Midnight Blizzard'ın devam eden saldırısı, tehdit aktörünün kaynaklarına, koordinasyonuna ve odağına sürekli ve önemli bir bağlılıkla karakterize ediliyor” dedi.
“Saldırılacak alanların bir resmini toplamak ve bunu yapma yeteneğini geliştirmek için elde ettiği bilgileri kullanıyor olabilir. Bu, özellikle karmaşık ulus devlet saldırıları açısından, daha geniş anlamda benzeri görülmemiş bir küresel tehdit manzarası haline gelen durumu yansıtıyor.”
Microsoft ihlalinin Kasım 2023'te Midnight Blizzard'ın, çok faktörlü kimlik doğrulamanın (MFA) etkin olmadığı eski, üretim dışı test kiracı hesabına başarılı bir şekilde sızmak için parola püskürtme saldırısı kullanmasıyla gerçekleştiği söyleniyor.
Teknoloji devi, Ocak ayı sonlarında APT29'un, çalınan kimlik bilgilerinden tedarik zinciri saldırılarına kadar çeşitli ilk erişim yöntemlerinden yararlanarak diğer kuruluşları hedef aldığını ortaya çıkardı.
Midnight Blizzard, Rusya'nın Dış İstihbarat Servisi'nin (SVR) bir parçası olarak kabul ediliyor. En az 2008'den beri aktif olan tehdit aktörü, SolarWinds gibi yüksek profilli hedefleri tehlikeye atan en üretken ve en gelişmiş bilgisayar korsanlığı gruplarından biridir.