Microsoft, iki düzine kuruluşu hedef alan Çin bağlantılı bir siber casusluk kampanyasının ortaya çıkmasından altı aydan fazla bir süre sonra, lisans katmanına bakılmaksızın Microsoft Purview Audit’i kullanarak ücretsiz günlük tutma özelliklerini tüm ABD federal kurumlarına genişletti.
ABD Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA), “Microsoft, müşteri hesaplarındaki günlükleri otomatik olarak etkinleştirecek ve varsayılan günlük tutma süresini 90 günden 180 güne çıkaracak” dedi.
“Ayrıca bu veriler, daha fazla federal kurumun, Federal Kanun’un zorunlu kıldığı kayıt tutma gereksinimlerini karşılamasına yardımcı olacak yeni telemetri sağlayacak. [Office of Management and Budget] Muhtıra M-21-31.”
Microsoft, Temmuz 2023’te Storm-0558 olarak bilinen Çin merkezli bir ulus-devlet faaliyet grubunun, ABD ve Avrupa’daki yaklaşık 25 kuruluşun yanı sıra az sayıda ilgili bireysel tüketici hesabına yetkisiz erişim elde ettiğini açıkladı.
Şirket, “Storm-0558 yüksek derecede teknik zanaat ve operasyonel güvenlikle çalışıyor” dedi. “Aktörler hedefin ortamının, kayıt politikalarının, kimlik doğrulama gereksinimlerinin, politikaların ve prosedürlerin son derece farkındadır.”
Kampanyanın Mayıs 2023’te başladığına inanılıyor, ancak daha sonra Dışişleri Bakanlığı olduğu ortaya çıkan bir ABD federal kurumunun, sınıflandırılmamış Microsoft 365 denetim günlüklerinde şüpheli etkinliği ortaya çıkarması ve bunu Microsoft’a bildirmesinden yalnızca bir ay sonra tespit edildi.
İhlal, Microsoft Purview Audit’teki geliştirilmiş günlük kaydından yararlanılarak, özellikle de genellikle Premium aboneler için kullanılabilen MailItemsAccessed posta kutusu denetim eylemi kullanılarak tespit edildi.
Windows üreticisi daha sonra, kaynak kodundaki bir doğrulama hatasının, Azure Active Directory (Azure AD) belirteçlerinin bir Microsoft hesabı (MSA) tüketici imzalama anahtarı kullanılarak Storm-0558 tarafından sahteleştirilmesine ve ardından bunları posta kutularına sızmak için kullanmasına izin verdiğini kabul etti.
Reuters’in Eylül 2023’te bildirdiğine göre, saldırganların Doğu Asya, Pasifik ve Avrupa’da görevli Dışişleri Bakanlığı yetkililerine ait Outlook hesaplarından en az 60.000 sınıflandırılmamış e-postayı çaldığı tahmin ediliyor. Pekin iddiaları reddetti.
Ayrıca, temel ancak hayati önem taşıyan günlük kaydı yeteneklerinin daha pahalı E5 veya G5 planındaki kuruluşlara devredilmemesi nedeniyle yoğun incelemelerle karşı karşıya kaldı ve bu da şirketin değişiklik yapmasına neden oldu.
Microsoft’tan Candice Ling, “Gelişmiş kayıt tutmanın, federal kurumların iyi kaynaklara sahip, devlet destekli aktörlerden gelen en karmaşık siber saldırıları bile tespit etmesini, yanıt vermesini ve önlemesini sağlamada oynadığı hayati önemin farkındayız” dedi. “Bu nedenle, gelişmiş denetim kayıtlarına erişim sağlamak için federal hükümet genelinde işbirliği yapıyoruz.”