Microsoft’un kurumsal sistemleri Kasım ayının sonlarında, olayın arkasındaki aynı Rus ulus devlet aktörü tarafından ele geçirildi. 2020 SolarWinds Orion yazılımı tedarik zinciri siber saldırısıMicrosoft tehdit araştırmacıları tarafından Midnight Blizzard (APT29, Cosy Bear veya Nobelium olarak da bilinir) olarak bilinir.
Şirket, ihlalin 12 Ocak’a kadar tespit edilmediğini söyledi.
Microsoft Güvenlik Araştırma Merkezi (MSRC) tarafından yapılan bir ön analiz, ulus devlet gelişmiş kalıcı tehdit (APT) aktörünün bir test hesabına erişmek için basit bir parola sprey saldırısı kullandığını ve bu durumun “Microsoft kurumsal şirketlerinin çok küçük bir yüzdesinin” tehlikeye atılmasına yol açtığını gösterdi. 19 Ocak tarihli bir şirket blog gönderisine göre, ihlal edilen e-posta hesapları arasında üst düzey yöneticilerin yanı sıra siber güvenlik ve hukuk ekiplerinin üyeleri de bulunuyordu Microsoft, dedi. Görünüşe göre, Nobelyum saldırganı Microsoft’un operasyonları hakkında sahip olduğu bilgileri araştırıyordu.
Microsoft, açıklamasında, operasyonlara etkisi ne olursa olsun eski sistemlerinin siber güvenlik açısından elden geçirilme sözü verdi.
“Mevcut güvenlik standartlarımızı Microsoft’a ait eski sistemlere ve dahili iş süreçlerine uygulamak için, bu değişiklikler mevcut iş süreçlerinde kesintiye neden olsa bile derhal harekete geçeceğiz.” Microsoft duyurdu. “Bu, muhtemelen biz bu yeni gerçekliğe uyum sağlarken bir miktar aksamaya neden olacaktır, ancak bu gerekli bir adımdır ve bu felsefeyi benimsemek için atacağımız birkaç adımdan yalnızca ilkidir.”
Microsoft Ulus-Devlet Siber Saldırı Dersleri
DoControl’ün kurucu ortağı Omri Weinberg’in açıklamasına göre, Microsoft’a yönelik başarılı siber saldırı, siber güvenlik ekiplerine e-posta ve dosya paylaşımı gibi daha az kritik sistemler içeren hassas bilgileri gözden kaçırmamaları gerektiğini hatırlatmalıdır.
Weinberg, “Bu tür hizmetlerin çoğu, hizmet olarak yazılım (SaaS) modeli aracılığıyla tüketiliyor ve bu da kuruluşlar için güvenlik ve izlemeyi daha zorlu hale getirebiliyor” dedi.
Gem Security’nin kurucu ortağı ve CEO’su Arie Zilberstein’a göre, Rus ulus devlet aktörünün Microsoft sistemlerinde bu kadar uzun süre kalıcılığı koruyabilmesi, aynı zamanda bulut kayıtlarına dikkat edilmediğini de gösteriyor.
Zilberstein yaptığı açıklamada, “Şaşırtıcı bir şekilde, düşman keşfedilmeden önce iki aydan fazla bir süre boyunca bulut altyapısında kalıcı kalmayı başardı.” dedi. “Kuruluşların, saldırganların hassas verilere erişmeden ve bunları sızdırmadan önce anormal etkinlikleri tespit edebilmeleri için bulut günlüklerini sürekli izlemelerini öneriyoruz.”
Nobelium APT Microsoft’u ve hizmetlerini daha önce de rahatsız etmişti. Geçtiğimiz yaz grup, güvenliği ihlal edilmiş Microsoft 365 kiracılarını kullanarak hükümete ve endüstriyel kuruluşlara karşı Teams kimlik avı saldırıları başlattı.