Microsoft Cuma günü, kurumsal sistemlerine yönelik bir ulus devlet saldırısının hedefi olduğunu ve bunun sonucunda üst düzey yöneticilerin ve şirketin siber güvenlik ve hukuk departmanlarındaki diğer kişilerin e-postalarının ve eklerinin çalındığını açıkladı.
Windows üreticisi, saldırıyı Midnight Blizzard (eski adıyla Nobelium) olarak takip ettiği ve aynı zamanda APT29, BlueBravo, Cloaked Ursa, Cozy Bear ve The Dukes olarak da bilinen bir Rus gelişmiş kalıcı tehdit (APT) grubuna bağladı.
Ayrıca, 12 Ocak 2024’te tespit edilmesi üzerine kötü niyetli faaliyeti derhal soruşturmak, engellemek ve azaltmak için adımlar atıldığını söyledi. Kampanyanın Kasım 2023’ün sonlarında başladığı tahmin ediliyor.
“Tehdit aktörü, eski bir üretim dışı test kiracısı hesabını ele geçirmek ve bir yer kazanmak için parola sprey saldırısı kullandı ve ardından hesabın izinlerini, üst düzey liderlik ekibimizin üyeleri ve Microsoft kurumsal e-posta hesaplarının çok küçük bir yüzdesine erişmek için kullandı. Microsoft, siber güvenlik, hukuk ve diğer fonksiyonlarımızdaki çalışanların bazı e-postaları ve ekteki belgeleri sızdırdığını söyledi.
Redmond, hedeflemenin niteliğinin, tehdit aktörlerinin kendileriyle ilgili bilgilere erişmeye çalıştıklarını gösterdiğini söyledi. Ayrıca saldırının ürünlerindeki herhangi bir güvenlik açığından kaynaklanmadığını ve saldırganın müşteri ortamlarına, üretim sistemlerine, kaynak koduna veya yapay zeka sistemlerine eriştiğine dair hiçbir kanıt bulunmadığını da vurguladı.
Ancak bilgisayar devi, kaç e-posta hesabına sızıldığını ve hangi bilgilere erişildiğini açıklamadı ancak bunun, olay sonucunda etkilenen çalışanları bilgilendirme süreci olduğunu söyledi.
Daha önce yüksek profilli SolarWinds tedarik zinciri ihlalinden sorumlu olan bilgisayar korsanlığı ekibi, Microsoft’u iki kez seçti; bir kez Aralık 2020’de Azure, Intune ve Exchange bileşenleriyle ilgili kaynak kodunu ele geçirdi ve ikinci kez de Microsoft’un üç bileşenini ihlal etti. Haziran 2021’de müşterilere şifre püskürtme ve kaba kuvvet saldırıları yoluyla.
Microsoft Güvenlik Yanıt Merkezi (MSRC), “Bu saldırı, Midnight Blizzard gibi iyi kaynaklara sahip ulus devlet tehdit aktörlerinin tüm kuruluşlar için oluşturduğu sürekli riskin altını çiziyor” dedi.