Microsoft tarafından yapılan bir araştırma, sonunda Çin merkezli bilgisayar korsanlarının Mayıs 2023’te “son derece izole ve kısıtlı üretim ortamını” nasıl atlattıklarını ortaya çıkardı.
Microsoft tarafından yapılan bir araştırma nihayet, Çin merkezli bilgisayar korsanlarının Mayıs 2023’te ABD devlet kurumlarına ait hassas e-posta hesaplarının kilidini açmak için “son derece izole ve kısıtlı bir üretim ortamının” korumalarını nasıl aştığını ortaya çıkardı.
Saldırı ilk olarak Microsoft tarafından Temmuz ayında bazı önemli soruları yanıtsız bırakan bir makalede bildirildi. Orijinal makale, Microsoft’un yeni tehdit aktörü adlandırma planına uygun olarak Storm-0558 olarak adlandırılan Çin merkezli bilgisayar korsanlarının, “devlet kurumlarının yanı sıra bireylerin ilgili tüketici hesapları da dahil olmak üzere genel buluttaki yaklaşık 25 kuruluşu etkileyen” e-posta hesaplarına erişim sağladığını ortaya çıkardı. muhtemelen bu örgütlerle bağlantılıdır.” Ars Technica bu hükümet hesaplarını “ABD Dışişleri ve Ticaret Bakanlıklarına ait” olarak tanımlıyor.
Microsoft, hesaplara sahte kimlik doğrulama jetonları kullanılarak erişildiğini söylüyor:
Microsoft araştırmaları, Storm-0558’in, kullanıcı e-postalarına erişmek için kimlik doğrulama belirteçleri oluşturarak Exchange Online (OWA) ve Outlook.com’da Outlook Web Access’i kullanarak müşteri e-posta hesaplarına erişim sağladığını belirledi.
Kimlik doğrulama jetonları, bir konserde aldığınız bilekliğin veya bir siber güvenlik konferansında size verilen kordonun bilgisayardaki eşdeğeridir. Biletinizi bir kez gösterirsiniz ve karşılığında size ait olduğunuzu göstermek için her zaman sergilemeniz gereken bir bileklik veya kordon verilir.
Outlook.com söz konusu olduğunda, kullanıcı adınız ve şifreniz sizi kapıdan içeri sokan bilettir ve kimlik doğrulama jetonu da size verilen ve orada olmanıza izin verildiğini belirten kordondur.
Kimlik doğrulama jetonunuzu ele geçiren bir saldırgan, şifrenizi bilmeden sizmişsiniz gibi davranabilir, bu nedenle jetonların taklit edilmesinin zor olması gerekir. Öyle olduklarından emin olmak için, gerçekten çok, çok, çok güvenli tutulması gereken özel bir şifreleme anahtarına dayanan kriptografi ile desteklenirler.
Orijinal Microsoft makalesi, Storm-0558’in “edinilmiş bir yazılım kullandığını” belirtti. [Microsoft account] OWA ve Outlook.com’a erişim için token oluşturmanın anahtarı” dedi ancak daha da önemlisi, saldırganların Fort Knox benzeri üretim ortamının gerçek hayat versiyonu gibi bir şeyde tutulan bir anahtara nasıl ulaşabildiklerini söylemedi. Microsoft tarafından şu şekilde açıklanmıştır:
Microsoft, son derece yalıtılmış ve kısıtlı bir üretim ortamını korur. Microsoft çalışanlarının üretim altyapısına erişimine yönelik kontroller arasında geçmiş kontrolleri, özel hesaplar, güvenli erişim iş istasyonları ve donanım belirteç cihazları kullanılarak çok faktörlü kimlik doğrulama yer alır. Bu ortamdaki kontroller aynı zamanda e-posta, konferans, web araştırması ve kötü amaçlı yazılım bulaşması veya kimlik avı gibi genel hesap güvenliği ihlal vektörlerine yol açabilecek diğer işbirliği araçlarının kullanımını da önler ve Tam Zamanında ve Yeterince kullanarak sistemlere ve verilere erişimi kısıtlar. Erişim politikaları.
Microsoft, 6 Eylül güncellemesinde saldırganların tüm bu korumayı nasıl ihlal ettiği bilmecesine “en olası mekanizma” adını verdiği bir yanıt sunuyor.
Her şey, 2021’de bir tüketici imzalama sistemindeki çökmeyle başlıyor. Sistemin, anahtarı içeren bir “çökme dökümü”, çökmenin nedeninin araştırılabilmesi için yüksek güvenlikli üretim ortamından Microsoft’un hata ayıklama ortamına taşındı.
Bunun gerçekleşmesinden bir süre sonra Storm-0558, bir Microsoft mühendisinin kurumsal hesabının güvenliğini ihlal etti. Bu hesabın, anahtarla birlikte kilitlenme dökümünü içeren hata ayıklama ortamına erişimi vardı ve Storm-0558, üretim ortamının kapsamlı güvenliğiyle uğraşmak zorunda kalmadan onu oradan alabildi.
Daha da önemlisi, kilitlenme dökümü sırasında anahtar materyali düzeltmesi gereken mekanizmalar başarısız oldu.
Beklediğiniz gibi Microsoft, diğer iyileştirmelerin yanı sıra önemli malzemeleri işleme ve algılama biçiminde çok sayıda iyileştirmeyle birlikte güvenliğini artırmak için büyük çaba sarf ettiğini açıklıyor.
Saldırı, Gelişmiş Kalıcı Tehdit (APT) aktörlerinin ne kadar gelişmiş ve kalıcı olabileceğinin ve Microsoft’un “ihlali varsayma” zihniyeti olarak adlandırdığı şeyin modern güvenlikte neden bu kadar önemli olduğunun harika bir örneğidir. Bilgisayar ağları karmaşıktır ve sürekli değişim halindedir ve her türlü organizasyona saldırılabilir. İhlal edildiğinizi varsayalım ve ortamınızı buna göre izleyin.
Malwarebytes EDR ve MDR, fidye yazılımının tüm kalıntılarını kaldırır ve yeniden virüse yakalanmanızı önler. İşletmenizi korumaya nasıl yardımcı olabileceğimiz hakkında daha fazla bilgi edinmek ister misiniz? Aşağıdan ücretsiz deneme sürümünü edinin.
ŞİMDİ DENE