Yeni bir soruşturma, Microsoft’un Çin merkezli mühendislere, Çin devlet destekli hackerlar tarafından büyük bir siber saldırıda, hassas ABD hükümet kurumları da dahil olmak üzere yüzlerce organizasyonu etkileyen aynı işbirliği yazılımı olan SharePoint için teknik destek ve hata düzeltmeleri sağlamak için güvendiğini ortaya koydu.
Geçen ay Microsoft, Çinli bilgisayar korsanlarının, Ulusal Nükleer Güvenlik İdaresi ve İç Güvenlik Departmanı da dahil olmak üzere çok sayıda şirketin ve devlet kurumunun bilgisayar sistemlerini ihlal etmek için SharePoint’teki güvenlik açıklarından başarılı bir şekilde yararlandığını duyurdu.
Ancak, şirketin açıklamasında açıklayamadığı şey, SharePoint desteğinin Çin merkezli bir mühendislik ekibi tarafından yıllardır ele alınmasıydı.
ProPublica tarafından incelenen dahili Microsoft çalışma izleme sistemi ekran görüntülerine göre, Çin merkezli çalışanlar son zamanlarda geçen ayki saldırılarda hedeflenen yazılımın şirket içi sürümü olan SharePoint “OnPrem” için hataları düzeltiyorlardı.
Bu sürüm, müşterilerin kendi bilgisayarları ve sunucularında yüklenen ve işletilen yazılımı ifade ederek doğrudan manipülasyona karşı savunmasız hale getirir.
Bu düzenleme hakkında karşılaştığında, Microsoft, Çin merkezli ekibin “ABD merkezli bir mühendis tarafından denetlendiğini ve tüm güvenlik gereksinimlerine ve yönetici kodu incelemesine tabi olduğunu” belirterek uygulamalarını savundu.
Şirket ayrıca, belirli bir zaman çizelgesi sağlanmasına rağmen, “bu işi başka bir yere kaydırmak için zaten iş sürdüğünü” açıkladı.
Microsoft’un Çin merkezli personelinin SharePoint Hack’te herhangi bir rol oynayıp oynamadığı belirsiz olmasına rağmen, siber güvenlik uzmanları, Çinli personelin ABD hükümet sistemlerinde teknik destek ve bakım yapmasına izin vererek ortaya çıkan önemli güvenlik riskleri konusunda sürekli olarak uyardı.
Daha geniş endişe modeli
Bu vahiy, Microsoft’un yabancı işçilere güvenmesi konusunda ortaya çıkan daha büyük bir modelin bir parçasıdır. ProPublica’nın soruşturması, on yıldan fazla bir süredir Microsoft’un savunma departmanının bulut sistemlerini korumak için Çin merkezli olanlar da dahil olmak üzere yabancı işçilere bağlı olduğunu buldu.
Bu yabancı işçilerin gözetimi, yabancı meslektaşlarını etkili bir şekilde izlemek için gerekli olan ileri teknik uzmanlıktan yoksun olan “dijital eskortlar” olarak bilinen ABD merkezli personelden geliyor.
Eskort düzenlemesi başlangıçta Microsoft tarafından yabancı çalışanlardan endişe duyan savunma departmanı yetkililerini tatmin etmek ve hassas verileri ele alan kişilerin ABD vatandaşları veya daimi sakinler olacağı gereksinimlerini karşılamak için geliştirilmiştir.
Bu önlemlere rağmen, sistem eskortlar ve denetledikleri yabancı mühendisler arasındaki teknik beceri boşluğu nedeniyle son derece hassas bilgileri savunmasız bırakmıştır.
Vahiyler hükümetin önemli tepkisine yol açtı. Savunma Sekreteri Pete Hegseth, teknoloji şirketlerinin departmanı desteklemek için dış temelli mühendislere olan güvenini kapsamlı bir inceleme başlattı.
Buna ek olarak, Senatörler Tom Cotton (R-Caransas) ve Jeanne Shaheen (D-New Hampshire), ProPublica’nın soruşturmasına atıfta bulunarak ve Microsoft’un Çin tabanlı destek operasyonları hakkında daha ayrıntılı bilgi talep ederek Hegseth’e birden fazla mektup yazdılar.
Montaj baskısına yanıt olarak Microsoft, savunma departmanı bulut bilişim sistemlerini desteklemek için Çin merkezli mühendisleri kullanımını durdurduğunu ve diğer hükümet bulut müşterileri için aynı değişikliği uygulamayı düşündüğünü açıkladı.
Bu vahiylerin zamanlaması, son SharePoint saldırısının kapsamı göz önüne alındığında özellikle ilgilidir. Microsoft’un analizi, Çinli bilgisayar korsanlarının 7 Temmuz 2025 gibi erken saatlerde SharePoint zayıf yönlerini kullanmaya başladığını gösterdi.
Şirket 8 Temmuz’da bir ilk yama yayınladı, ancak bilgisayar korsanları başarıyla atladı ve Microsoft’u gelişmiş korumalarla daha sağlam bir yama yayınlamaya zorladı.
ABD Siber Güvenlik ve Altyapı Güvenlik Ajansı, bu güvenlik açıklarının bilgisayar korsanlarının “dosya sistemleri ve dahili yapılandırmalar da dahil olmak üzere SharePoint içeriğine tam olarak erişmesini ve ağ üzerinden kod yürütmesini” sağladığı konusunda uyardı.
Saldırılar, kurbanların dosyalarını şifreleyen ve yayınlanmaları için ödeme talep eden fidye yazılımlarını yaymak için de kullanıldı.
Etki ve gelecekteki sonuçlar
Devlet kurumları ihlalden farklı düzeyde etki bildirmiştir. İç Güvenlik Bakanlığı, ajanstan verilerin alındığına dair bir kanıt olmadığını, Ulusal Nükleer Güvenlik İdaresi’ni denetleyen Enerji Bakanlığı, etkiyi hassas veya sınıflandırılmış bilgi tehlikeye atmadan “minimal” olarak nitelendirdi.
İleriye baktığımızda, Microsoft önümüzdeki Temmuz ayından itibaren, SharePoint’in şirket içi sürümlerini desteklemeyeceğini ve müşterileri çevrimiçi sürüme geçmeye çağırdığını duyurdu.
Bu geçiş, Microsoft’un abonelik tabanlı hizmetleri tanıtma konusundaki daha geniş iş stratejisi ve şirketin son değerleme kilometre taşına piyasa değerini 4 trilyon doları aşan ikinci şirket haline gelmesine önemli ölçüde katkıda bulunan Azure Cloud Computing platformuyla uyumludur.
Bu soruşturma, kritik yazılım altyapısını çevreleyen güvenlik protokolleri ve giderek karmaşıklaşan bir siber güvenlik ortamında uluslararası personel düzenlemelerinin potansiyel riskleri hakkında temel soruları gündeme getirmektedir.
Bu hikayeyi ilginç bul! Daha fazla güncelleme almak için bizi LinkedIn ve X’te takip edin.