Siber Savaş / Ulus-Devlet Saldırıları, Dolandırıcılık Yönetimi ve Siber Suçlar, Kimlik ve Erişim Yönetimi
Ölüm Sonrası: Çok Sayıda Müşteri Rus Ulus-Devlet Saldırganlarının Hedefinde
Mathew J. Schwartz (euroinfosec) •
26 Ocak 2024
Rus istihbaratı tarafından yönetilen “tutarlı ve kalıcı” bir ulus-devlet bilgisayar korsanlığı grubu, özel olarak oluşturulmuş kötü amaçlı bir uygulamayı yetkilendirmek için bir test hesabı kullanarak Microsoft’un bulut tabanlı e-postasını ihlal etti.
Ayrıca bakınız: İsteğe Bağlı Panel | Operasyonel Mükemmelliği Güvenceye Alma: CISO’ları Engelleme 5 En Önemli Güvenlik Sorunu
Microsoft Perşembe günü, şirketin her yerde bulunan üretkenlik ve bulut depolama uygulamaları paketi olan Microsoft 365’i hedef alan Kasım ayı sonundaki bir saldırının ardından yapılan otopside böyle söyledi. Microsoft yakın zamanda saldırıyı keşfetti ve bunu ilk kez 19 Ocak’ta kamuya açıkladı (bkz.: Microsoft: Rus Hackerlar Yöneticilerin E-postalarına Erişebildi).
Microsoft, saldırganların Office 365 OAuth için kendi uygulamalarını (belirteç tabanlı, yetkilendirilmiş yetkilendirme çerçevesine atıfta bulunarak) oluşturduklarını ve uygulamalara Microsoft’un kendi Outlook varlığına tam erişim izni vererek çeşitli yöneticilere atanan gelen kutularına erişim sağladıklarını bildirdi. siber güvenlik ve hukuki işlevlerde ve e-postalarının ve eklerinin kopyalarının çalınması.
Microsoft, saldırıyı Midnight Blizzard olarak takip ettiği, eski adıyla Nobelium olan ve aynı zamanda APT29 ve Cosy Bear olarak da bilinen bir gruba bağladı. Beyaz Saray, 2021’de hackerların yaygın olarak kullanılan SolarWinds Orion yazılımının güncelleyicisine bir Truva atı enjekte etmesinden sonra grubu Rusya’nın Dış İstihbarat Servisi’ne (SVR) bağladı.
SolarWinds kampanyası Eylül 2019’da başlamış olabilir ve Aralık 2020’ye kadar tespit edilmemiş olabilir; bu da SVR istihbarat toplama siber casusluk operasyonlarının nasıl uzun süreler boyunca devam edecek şekilde tasarlandığını gösteriyor.
Microsoft, bu durumda Midnight Blizzard’ın yaklaşık altı hafta boyunca Outlook gelen kutularına erişime sahip göründüğünü söyledi.
Exchange Web Hizmetleri kayıtlarının incelenmesi de dahil olmak üzere devam eden dijital adli analizin bir parçası olarak şirketin güvenlik ekibi, aynı grup saldırganın belirsiz sayıda müşterinin gelen kutularını hedeflemek için aynı taktikleri kullandığını tespit etti. Microsoft, “Hedeflenen bu kuruluşları bilgilendirmeye başladık” dedi.
Şirket, hesaplar için çok faktörlü kimlik doğrulamanın etkinleştirilmesi gibi mevcut savunmaların bu tür saldırıları köreltmeye yardımcı olup olmadığını veya saldırganların MFA’yı atlayıp geçemediğini belirtmedi.
Microsoft, “Bu soruşturma halen devam ediyor ve ayrıntıları uygun şekilde sağlamaya devam edeceğiz” dedi.
Hedeflenen Microsoft müşterilerinden birinin Hewlett Packard Enterprise olduğu görülüyor. Çarşamba günü HPE, yatırımcılara “tehdit aktörü Midnight Blizzard olduğuna inanılan şüpheli bir ulus devlet aktörünün, aynı zamanda Cozy Bear olarak da bilinen devlet destekli aktörün, HPE’nin bulut tabanlı e-posta ortamına yetkisiz erişim sağladığının bildirildiğini” söyledi. ” HPE, saldırıların Mayıs 2023’te birden fazla SharePoint dosyasını sızdıran ve HPE’nin Haziran 2023’te bilgilendirildiğini söylediği grupla bağlantılı göründüğünü söyledi.
Saldırı Nasıl İlerledi?
Microsoft tarafından açıklandığı gibi, “eski, üretim dışı test kiracı hesabının” başarıyla ele geçirilmesi şu şekilde gerçekleşti:
- Şifre püskürtme: Bilgisayar korsanları, bir sözlük saldırısı kullanarak hesaplarda oturum açmaya çalıştı; oturum açmaya çalıştıkları hızı sınırlayarak ve bu tür girişimlerin kaynaklandığı IP adreslerini gizlemek ve hızla değiştirmek için yerleşik proxy’ler kullanarak tespit edilmekten kaçındı ve “eski, geleneksel olmayan bir kimliği tehlikeye attı”. -çok faktörlü kimlik doğrulamanın etkin olmadığı üretim testi kiracı hesabı.”
- Kötü amaçlı OAuth uygulamaları oluşturma: Microsoft, bu hesabı kullanarak, saldırganın “Microsoft kurumsal ortamına yüksek erişime sahip eski bir test OAuth uygulaması” bulduğunu ve tehlikeye attığını, ardından “ek kötü amaçlı OAuth uygulamaları” ve “izin vermek için yeni bir kullanıcı hesabı oluşturduğunu” söyledi. Microsoft’un kurumsal ortamından aktör kontrollü kötü amaçlı OAuth uygulamalarına kadar.”
- Tam erişim: Saldırgan, OAuth uygulamalarını kendilerine tam erişim verecek şekilde ayarladı.
full_access_as_approl – birden fazla Office 365 Exchange Online posta kutusuna. - E-postaların toplanması: “Midnight Blizzard, Microsoft Exchange Online’da kimlik doğrulaması yapmak ve Microsoft kurumsal e-posta hesaplarını hedeflemek için bu kötü amaçlı OAuth uygulamalarından yararlandı.” Yine “güvenliği ihlal edilen kiracıya” ve ardından Exchange Online’a erişmek için dağıtılmış konut proxy altyapısını kullandı.
Microsoft Hızla Hareket Etmeyi Vaat Ediyor
Microsoft, SVR’nin birçok cephede istihbarat toplama hedefi olabilir. Şirket, ilk ihlal açıklamasında “Soruşturma, başlangıçta Midnight Blizzard ile ilgili bilgiler için e-posta hesaplarını hedeflediklerini gösteriyor” dedi. Elbette bu, Microsoft’un müşterilerinin gelen kutularına erişim sağlamanın yanında ikincil bir konu da olabilirdi.
Teknoloji devi aynı zamanda Rusya’nın fetih savaşıyla yüzleşen Ukrayna’nın da önemli bir destekçisi oldu ve operasyonlarının çoğunu Microsoft tarafından barındırılan bulut hizmetlerine taşıyarak Kiev’in hükümet ve kamu hizmetlerini sürdürmesine yardımcı oldu.
Bilinen bu son SVR saldırısının ardından şirket, savunmasını daha hızlı bir şekilde elden geçireceğine söz verdi. İlk ihlal bildiriminde, “Mevcut güvenlik standartlarımızı Microsoft’un sahip olduğu eski sistemlere ve dahili iş süreçlerine uygulamak için derhal harekete geçeceğiz, bu değişiklikler mevcut iş süreçlerinde kesintiye neden olsa bile” dedi.
Perşembe günkü güncellemede şirket, bu tür saldırıların tekrarına karşı koruma sağlamak için bazı daha iyi savunmaların halihazırda mevcut olduğunu söyledi. “Eski kiracıyı bugün aynı ekip dağıtacak olsaydı, zorunlu Microsoft politikası ve iş akışları, MFA’nın ve aktif korumalarımızın mevcut politikalara ve kılavuzlara uymasını sağlayacak ve bu da bu tür saldırılara karşı daha iyi koruma sağlayacaktır” dedi.