Rus tehdit aktörü “Midnight Blizzard”ın geçen Kasım ayında Microsoft’un üst düzey yöneticilerine ait e-posta hesaplarına erişip bu hesaplardaki verilere erişmesinden aylar önce, grup aynısını Hewlett-Packard Enterprise’da (HPE) zaten yapmıştı.
Yeni bir 8-K SEC dosyalama formu 19 Ocak’ta yayınlanan bir rapor, Nobelium, Cosy Bear ve APT29 olarak da bilinen Midnight Blizzard’ın Mayıs 2023’te HPE’nin bulutta barındırılan e-posta ortamını ihlal ettiğini gösteriyor. Saldırganlar, şirketin az sayıda olduğunu iddia ettiği hesaplardan veri sızdırdı. Şirketin siber güvenlik, pazarlama, işletme ve diğer bölümlerindeki kişiler.
HPE, saldırıyı 12 Aralık 2023’te öğrendiğini ve saldırının tam kapsamını ve kesin zaman çizelgesini belirlemek için o tarihten bu yana harici siber güvenlik uzmanlarıyla birlikte çalıştığını söyledi. HPE’nin başvurusunda şu ifadelere yer verildi: “Şirket artık bu olayın muhtemelen bu tehdit aktörünün Haziran 2023’te bize bildirilen, sınırlı sayıda SharePoint dosyasına yetkisiz erişim ve bu dosyaların Mayıs 2023 gibi erken bir tarihte sızdırılmasını içeren daha önceki faaliyetleriyle ilgili olduğunu anlıyor.” .
Microsoft Geçen Hafta Benzer Bir İhlali Açıkladı
HPE’nin SEC başvurusuna ilişkin haberler, Microsoft’un geçen hafta bir blog yazısında bir sorun tespit ettiğini açıklamasından birkaç gün sonra geldi. Midnight Blizzard kurumsal sistemlerine saldırdı Şirket, soruşturmanın, saldırganın muhtemelen Kasım 2023’te sistemlerine sızdığını ve o zamandan beri üst düzey yöneticilere ve siber güvenlik, hukuk ve diğer işlevlerdeki çalışanlara ait e-posta hesaplarından bilgi sızdırdığını gösterdiğini söyledi.
Midnight Blizzard, Microsoft’un kurumsal ağına ilk erişimi bir yaygın şifre sprey saldırısı eski bir üretim dışı test hesabını ihlal etmek. Tehdit aktörü daha sonra Microsoft’un ilgilendiği e-posta hesaplarına erişmek için bu hesabın izinlerini kullandı. Microsoft’un blog gönderisine göre “Soruşturma, başlangıçta Midnight Blizzard ile ilgili bilgiler için e-posta hesaplarını hedeflediklerini gösteriyor. E-postasına erişilen çalışanları bilgilendirme sürecindeyiz.”
Microsoft, olayın ardından güvenlik protokollerini (özellikle eski sistemlerini içerenleri) yenileme sözü verdi.
Devlet Destekli Tehlikeli Bir Tehdit
Saldırılar, dikkatleri ABD hükümetinin resmi olarak Rusya Dış İstihbarat Servisi’ne (SVR) bağladığı bir tehdit aktörü olan Midnight Blizzard’a yöneltti. Nisan 2021’de ABD Siber Güvenlik ve Altyapı Güvenliği Ajansı, FBI ve Ulusal Güvenlik Ajansı, tehdit aktörünü şu saldırılardan sorumlu olarak tanımladı: SolarWinds’in yapı ortamına girme ve birçok müşterinin sistemlerine indirdiği meşru bir yazılım güncellemesine kötü amaçlı yazılım yerleştirmek. SolarWinds, ihlali Aralık 2020’de tespit edip duyurdu, ancak asıl ihlal Eylül 2019’da gerçekleşti. Ocak 2019’da başlayan ilk araştırma faaliyeti.
Bu izinsiz giriş, yaklaşık 2009’dan bu yana faaliyet gösteren tehdit aktörünün daha geniş bir odak noktasına işaret ediyordu. İlk kampanyalarının çoğu siyasi istihbarat toplamaya odaklanmıştı. Bunlardan en dikkat çekeni, saldırılardı. Demokratik Ulusal Komite (DNC) 2015’te bir saldırı dalgası yaşandı AB hükümetleri, NATO düşünce kuruluşları, ve diğerleri 2019’da.
Ancak CISA’nın belirttiği gibi Aralık 2023 tavsiyesi2018’den bu yana ve özellikle SolarWinds’ten sonra Midnight Blizzard/SVR de yoğun olarak teknoloji şirketlerine odaklanıyor. Kampanyalarının çoğu, CISA’nın “düşük ve yavaş” parola püskürtme olarak tanımladığı yöntemi ve yaygın olarak kullanılan bazı ürünlerdeki güvenlik açıklarına karşı istismarları içeriyordu. Grubun yaygın olarak istismar ettiği kusurlardan bazıları arasında Fortinet cihazlarındaki CVE-2018-13379; Zimbra’da CVE-2019-9670, Pulse Secure VPN’de CVE-2019-11510, Citrix’te CVE-2019-1978 ve VMware’i etkileyen CVE-2020-4006.
JetBrains TeamCity Güvenlik Açığı Kapsamlı Hedefleme
CISA, Aralık ayındaki tavsiye niteliğindeki raporunda şunları ekledi: CVE-2023-42793kimlik doğrulama atlama güvenlik açığı JetBrains TeamCityGrubun son aylarda agresif bir şekilde hedeflediği kusurlar listesine bu da eklendi. CISA, TeamCity sunucusuna erişimin, tehdit aktörüne kaynak koduna erişim, sertifika imzalama ve yazılım derleme ve dağıtım süreçlerine müdahale etme yeteneği sağlayacağı konusunda uyardı. Danışma belgesinde, “SVR, CVE-2023-42793’ten yararlanmayı seçerek, özellikle tehdit aktörlerinin düzinelerce yazılım geliştiricisinin ağlarını tehlikeye atmasına izin vererek kurbanlara erişimden faydalanabilir” ifadesine yer verildi.
En azından CISA tavsiyesi sırasında SVR/Midnight Blizzard, SolarWinds benzeri bir saldırıyı gerçekleştirmek için TeamCity CVE tarafından sağlanan erişimi kullanmamıştı. Ancak CISA, tehdit aktörünün ayrıcalıkları artırmak, yanlara doğru hareket etmek, ek yükler dağıtmak ve kalıcılık oluşturmak için güvenlik açığını kullandığı konusunda uyardı.
Semperis güvenlik araştırmaları kıdemli direktörü Yossi Rachman, “Bu özel zamanda, siber güvenlik endüstrisi uzmanları ve düşünce liderleri Midnight Blizzard’ı bu hedefli saldırıları gerçekleştirmeye neyin motive ettiği konusunda çeşitli fikirler ortaya atıyor” dedi. “Şu anda büyük olasılıkla, HP güvenlik uzmanları ve Microsoft’un Rusya destekli saldırı grupları ve bir bütün olarak Rusya’nın siber saldırı çabaları hakkında sahip olduğu her türlü bilgiyi toplamak için bir bilgi toplama görevindeler.”