Siber Savaş / Ulus-Devlet Saldırıları, E-posta Tehditlerinden Koruma, Dolandırıcılık Yönetimi ve Siber Suçlar
Sert Rapor, Üst Düzey Hükümet Yetkililerini Hedef Alan Hack'in 'Önlenebilir' Olduğunu Söyledi
Chris Riotta (@chrisriotta) •
2 Nisan 2024
Hükümet tarafından Salı günü yayınlanan bir incelemeye göre, Microsoft, Çin'deki bir bilgisayar korsanlığı kampanyasının geçen yaz üst düzey ABD hükümet yetkililerinin e-posta hesaplarını başarılı bir şekilde hedeflemesine izin veren bir dizi “önlenebilir hata” gerçekleştirdi.
Ayrıca bakınız: İsteğe Bağlı | Hileli URL Hileleriyle Mücadele: En Son Kimlik Avı Saldırılarını Nasıl Hızlı Bir Şekilde Tanımlayabilir ve Araştırabilirsiniz?
İç Güvenlik Bakanlığı'nın Siber Güvenlik İnceleme Kurulu, Çinli bilgisayar korsanlarının 2023'te Microsoft Exchange Online'a sızmasıyla ilgili bir raporda, teknoloji devinin kurumsal güvenlik yatırımlarını ve sıkı risk yönetimini etkili bir şekilde önceliklendiren bir dizi operasyonel ve stratejik karar aldığını belirtti (bkz.: Bilgisayar Korsanları İmza Anahtarını Çaldı ve ABD Hükümetinin Microsoft 365'ini Çaldı).
Raporda, Microsoft'un yetersiz güvenlik kültürünün, Storm-0558 olarak takip edilen Çinli bilgisayar korsanlığı grubunun “önlenebilir ve asla gerçekleşmemesi gereken” hedefli bir casusluk kampanyasına yol açtığı belirtildi. İnceleme kurulu, Microsoft'un, kimlik doğrulama belirteçleri oluşturmak için kullanılan 2016 yılında oluşturulan bir dijital imzalama anahtarının güvenliğini ihlal ettiğini tespit edemediğini tespit etti. Ayrıca, 2021'de bir Microsoft mühendisinin dizüstü bilgisayarında hedeflenen bilgisayar korsanlığının gerçekleşmesine izin veren bir güvenlik ihlali tespit edilemedi.
DHS Politika Müsteşarı ve CSRB Başkanı Robert Silvers bir basın açıklamasında “Bulut bilişim, hassas verileri barındırdığı ve ekonomimizdeki ticari operasyonlara güç verdiği için sahip olduğumuz en kritik altyapılardan biridir” dedi ve şunu ekledi: “Bu zorunludur. Bulut hizmet sağlayıcıları güvenliğe öncelik veriyor ve bunu tasarım gereği oluşturuyor.”
Çinli bilgisayar korsanları, aralarında ABD'nin Çin Büyükelçisi Ticaret Bakanı Gina Raimondo ve Pekin'i eleştiren Nebraskalı Cumhuriyetçi Temsilci Don Bacon'un da bulunduğu üst düzey yetkililerin e-posta gelen kutularına sızdı. Hackleme, Dışişleri Bakanı Antony Blinken'in Haziran ortasında Çin'e yaptığı ziyaretle aynı zamana denk geldi; bu ziyaret, Çin gözlem balonunun Amerika Birleşik Devletleri kıtası boyunca sürüklenmesinin ardından 2023'ün başlarından itibaren ertelendi.
Kurul, güvenlik odaklı reformların uygulanmasına yönelik belirli zaman çizelgeleri içeren, kamuya açık bir plan da dahil olmak üzere Microsoft'un güvenlik altyapısının kapsamlı bir şekilde elden geçirilmesini önerdi. CSRB, Microsoft liderliğinin ayrıca şirket genelindeki ekipleri, “önemli güvenlik iyileştirmeleri yapılana kadar” bulut altyapısı ve ürün geliştirmelerine öncelik vermeleri konusunda yönlendirmeyi düşünmesi gerektiğini söyledi.
29 sayfalık rapor, grubun iki yıl önce bir mühendisin ele geçirilen cihazını hacklemesinin ardından Storm-0558'in e-posta hesaplarına ilk kez erişim sağladığı Mayıs 2023'te başlayan saldırının zaman çizelgesini ayrıntılarıyla anlatıyor. Bilgisayar korsanlığı grubu Haziran başında Ticaret Bakanlığı'nın e-posta hesaplarına erişti. Dışişleri Bakanlığı'nın güvenlik operasyonları merkezi aynı ayın sonlarında anormal posta erişimi tespit etti
CSRB raporu, uzak sistemler için güvenli kimlik doğrulama sağlayan imzalama anahtarlarını “herhangi bir bulut hizmet sağlayıcısı için en önemli mücevherlerin kriptografik eşdeğeri” olarak tanımlıyor ve şunu ekliyor: “Bu olay sırasında meydana geldiği gibi, geçerli bir imzalama anahtarına sahip olan bir düşman, kendisine bu anahtarın etki alanı içindeki herhangi bir bilgi veya sisteme erişim izni verir.”
Microsoft geçen yıl Çinli bilgisayar korsanlarının, anahtarı şirketin internete bağlı ağında depolanan çökme verileri dökümünde bulduktan sonra kimlik doğrulama belirteçleri için dijital imzalama anahtarını elde edebildiklerini söyledi. Şirket, Mart ayı sonlarında, etkilenen anahtar materyali içeren bir çökme dökümü bulamadığını belirterek bu açıklamayı geri çekti.'
Raporda “Microsoft, Storm-0558'in imzalama anahtarını nasıl ve ne zaman elde ettiğini bilmiyor” ifadesi yer alıyor.
Kurul, tüm bulut hizmet sağlayıcılarını, dijital kimlik ve kimlik bilgileri sistemlerinde modern kontrol mekanizmalarını ve temel güvenlik uygulamalarını uygulamaya ve izinsiz girişlerin tespit edilmesine yardımcı olmak amacıyla bulut hizmetlerinde varsayılan denetim kaydı için minimum bir standart benimsemeye çağırdı.
Raporda ayrıca sağlayıcılara “bilgi paylaşımı çabalarını teşvik etmek ve siber güvenlik olaylarını araştırmak, düzeltmek ve kurtarmak için ilgili bilgileri güçlendirmek” için daha etkili mağdur bildirimi ve destek kaynakları geliştirmeleri öneriliyor.
CSRB Başkan Vekili Dmitri Alperovitch, yaptığı açıklamada Storm-0558'in “Çin hükümetini ilgilendiren kişilerin e-postaları da dahil olmak üzere hassas verilere erişmek için kimlik sistemlerini tehlikeye atma kapasitesine ve niyetine sahip olduğunu” söyledi.
“Bulut hizmet sağlayıcıları, müşterilerini bu ve ulus devlet aktörlerinden gelen diğer kalıcı ve zararlı tehditlere karşı korumak için bu önerileri acilen uygulamalıdır” diye ekledi.
Rapor ayrıca Federal Risk Yetkilendirme Yönetimi Programını, yüksek etkili durumların ardından bulut hizmeti tekliflerinin isteğe bağlı özel incelemelerini yürütmek için bir çerçeve geliştirmeye teşvik ediyor.