Microsoft’un üst düzey yönetici ekibinin hacklenmesi, dünyanın önde gelen devlet bağlantılı tehdit gruplarından biri tarafından agresif ve cesur bir hareket olarak görülüyor.
Ancak deneyimli araştırmacılar ve endüstri analistleri de saldırıyı, Microsoft’un güvenlik yeteneklerinde uzun süredir devam eden zayıflıkların bir hatırlatıcısı olarak görüyorlar.
Ayrıca iş uygulamaları ve bulut bilişim alanında baskın bir oyuncu olan Microsoft’un istediğini yaptığına dair bir algı da mevcut.
Stanford Üniversitesi Siber Politika Merkezi öğretim üyesi ve Beyaz Saray Siber Politika eski Direktörü AJ Grotto, “Açık konuşalım, Microsoft bir suçun kurbanıydı” dedi. “Fakat arabasını zorlu bir mahalleye park edip kapıları kilitlemeden ve değerli eşyalarını görünürde bırakmanın siber eşdeğerini yaptı.”
Geçen hafta Microsoft’un Midnight Blizzard’ın hack’i ortaya çıktıEski adıyla Nobelium olarak bilinen, Rusya’ya bağlı tehdit aktörü. Grup, Kasım ayı sonlarına kadar uzanan bir parola spreyi saldırısı yoluyla önemli Microsoft yöneticilerinin e-postalarını ve diğer belgelerini çaldı.
Bilgisayar korsanları eski, üretim dışı test kiracı hesabını ele geçirdi ve Microsoft’a göre saldırı 12 Ocak’a kadar fark edilmedi.
Güvenlik araştırmacılarına göre, parola sprey saldırısı, genellikle bilgisayar korsanları tarafından sisteme başka bir şekilde girme olanağı bulunmayan kaba kuvvet eylemi türüdür. Parola püskürtme saldırıları genellikle kimliği doğrulamak için basit kimlik doğrulama katmanlarıyla önlenebilir.
Grotto, “Bu karmaşık bir saldırı değildi ve temel siber hijyenle önlenebilirdi” dedi.
Microsoft Tehdit İstihbaratı araştırmacıları Perşembe günü yayınlanan bir takip blog gönderisinde, ek önleme tedbirlerinin saldırının gerçekleştirilmesini çok daha zorlaştıracağını kabul etti.
“Eski kiracıyı bugün aynı ekip dağıtacak olsaydı, zorunlu Microsoft ilkesi ve iş akışları şunları sağlardı: [multifactor authention] Microsoft Tehdit İstihbaratı blogda şöyle yazıyordu: ve aktif korumalarımız mevcut politikalara ve yönergelere uyum sağlayacak şekilde etkinleştirildi ve bu da bu tür saldırılara karşı daha iyi koruma sağlıyor.”
Microsoft, tehdit grubunun ilk erişimini eski bir test OAuth uygulamasını kötüye kullanmak için kullandığını, ardından ek OAuth uygulamaları oluşturduğunu ve bu ayrıcalığı Microsoft kurumsal e-posta hesaplarına erişim kazanmak için kullandığını söyledi.
Bloga göre Midnight Blizzard, IP adresleri normalde meşru kullanıcılar tarafından kullanıldığından etkinliğini tespit edilmekten gizlemek için konut proxy ağlarını kullandı.
Astrix Security araştırma ekibi lideri Tal Skverer, e-posta yoluyla şunları söyledi: “Maalesef Microsoft, onların insan olmayan kimliklerini yönetmedi veya izlemedi ve bunun sonucunda, ele geçirilen kurumsal Microsoft kiracısında kullanımdan kaldırılmış, aşırı izin veren bir uygulama mevcuttu.”
Microsoft’un araştırması Midnight Blizzard’ın diğer kuruluşları hedef aldığını ve şirketin hedeflenen kurbanları bilgilendirmeye başladığını ortaya çıkardı.
Hewlett Packard Enterprise Çarşamba günü, geçtiğimiz Mayıs ayından bu yana aynı tehdit grubu tarafından saldırıya uğradığını açıkladı.
Midnight Blizzard, HPE posta kutularının küçük bir yüzdesinden ve siber güvenlik ve diğer departmanlardaki sınırlı sayıda çalışanın SharePoint dosyasından verilere erişti. HPE, bu saldırıları diğer şirket veya kuruluşlarla görüşüp görüşmediği konusunda yorum yapmaktan kaçındı ancak kolluk kuvvetleriyle işbirliği yaptığını doğruladı.
HPE’nin bir sözcüsü e-posta yoluyla şunları söyledi: “Tehdit aktörü, Office 365 e-posta ortamına yetkisiz erişim sağlamak için güvenliği ihlal edilmiş bir hesap kullandı.”
Şirket, etkilenen posta kutularından hangi spesifik bilgilere erişildiğini ve bu bilgilerin sızdırıldığını belirlemek için soruşturmayı sürdürüyor.
Güvenlik değişiklikleri ileride
Saldırı açıklamaları, Microsoft Exchange’in devlet bağlantılı hacklenmesinden yalnızca altı ay sonra geldi; bu saldırı, Microsoft Exchange’den on binlerce e-postanın çalınmasına yol açtı. ABD Dışişleri Bakanlığı.
Şirket karşı karşıya kaldı Rakiplerden ve ABD’li yetkililerden ciddi tepki Bulut müşterilerinin günlükler dahil kritik güvenlik özellikleri için ekstra ödeme yapmasını sağlamak.
Microsoft ile anlaşma sağlandı Siber Güvenlik ve Altyapı Güvenliği Ajansı güvenlik günlüklerini ekstra ücret ödemeden ve daha sonra kullanılabilir hale getirmek için genişletilmiş varsayılan saklama Purview’de zamanlar. Adımlar bir sürecin parçasıydı güvenliği artırmak için daha geniş çaba saldırıları takip ediyor.
Microsoft Kasım ayında bir plan duyurdu. Güvenli Gelecek Girişimitasarım gereği güvenli ve varsayılan olarak güvenli ilkelerini yazılım geliştirme sürecine dahil etme çabasıdır.
Microsoft Security CVP’si Vasu Jakkal, bu ayın başlarında Cybersecurity Dive’a e-posta yoluyla şirketin, ürünlerin “tasarım ve varsayılan olarak, dağıtım ve kurulum sırasında güvenli olduğundan emin olmak için yapay zeka ve otomasyon kullanarak yazılım yapma biçimini dönüştürmeye odaklandığını” söyledi. çalışır durumda.”
Microsoft’un 8-K dosyalamayla geçen hafta yayınlanan blog yazısıGüvenli Gelecek Girişimi planlarını hızlandırması ve normal iş süreçlerini etkileyebilecek potansiyel olarak acı verici kararlar alması gerektiğini kabul etti.
Microsoft yetkilileri gönderide, “Bu, muhtemelen biz bu yeni gerçekliğe uyum sağlarken bir miktar aksamaya neden olacak” dedi, “ancak bu gerekli bir adım ve bu felsefeyi benimsemek için atacağımız birkaç adımdan yalnızca ilki.”
Güvenlik araştırmacısı Kevin Beaumont, şirketin “güveni korumak için radikal bir teknik ve kültürel dönüşüme” ihtiyacı olduğunu söyledi. Açıklamanın ardından bir LinkedIn gönderisi.
Microsoft’un vaatlerine rağmen Tenable CEO’su Amit Yoran, Microsoft’un Midnight Blizzard saldırısının ötesinde gerçekte ne olduğuna dair yavaş yavaş daha aydınlatıcı bilgiler sunmasını bekliyor ve bundan büyük bir reformun çıkması yönünde pek bir şey beklemiyor.
“Önceki performans kayıtları mevcut ve gelecekteki davranışların bir göstergesiyse, bu hikayenin önümüzdeki aylarda damlalar halinde ortaya çıkmasını izlemek ilginç olacak.” Yoran e-posta yoluyla söyledi.