Rus bilgisayar korsanları bir ay süren ihlalde Microsoft’un kurumsal e-postalarını çaldı


Microsoft

Microsoft, Cuma gecesi bazı kurumsal e-posta hesaplarının ihlal edildiğini ve verilerin Rus devlet destekli bilgisayar korsanlığı grubu Midnight Blizzard tarafından çalındığını açıkladı.

Şirket, saldırıyı 12 Ocak’ta tespit etti ve Microsoft, ihlali araştırmak, engellemek ve hafifletmek için müdahalesini başlattı.

Araştırmaları, Midnight Blizzard, yani Nobelium veya APT29 olarak bilinen tehdit aktörü tarafından ihlal edildiklerini belirledi.

Microsoft, tehdit aktörlerinin Kasım 2023’te eski bir üretim dışı test kiracısı hesabına erişim sağlamak için parola sprey saldırısı gerçekleştirerek sistemlerini ihlal ettiğini söylüyor.

Nobelium, bu hesabın izinlerini kullanarak, bir aydan fazla bir süre boyunca, liderlik ekibinin üyeleri ve siber güvenlik ve hukuk departmanlarındaki kişiler de dahil olmak üzere Microsoft’un kurumsal e-posta hesaplarının küçük bir yüzdesine erişebildi.

Bu erişim, saldırganların kurumsal hesaplardaki e-postaları ve ekleri çalmasına olanak tanıdı.

Microsoft Güvenlik Yanıt Merkezi olayla ilgili bir raporda şunları paylaştı: “Soruşturma, başlangıçta Midnight Blizzard ile ilgili bilgiler için e-posta hesaplarını hedeflediklerini gösteriyor.”

“E-postalarına erişilen çalışanları bilgilendirme sürecindeyiz.”

Microsoft, bu ihlalin ürün ve hizmetlerindeki bir güvenlik açığından değil, hesaplarına yapılan kaba kuvvet parola saldırısından kaynaklandığını yineliyor.

Microsoft hala ihlali araştırırken, uygun görüldüğü takdirde ek ayrıntıları paylaşacaklarını söylediler.

Nobelium kimdir?

Nobelium, Microsoft’u da etkileyen 2020 SolarWinds tedarik zinciri saldırısının arkasında olduğuna inanılan Rus devleti destekli bir aktördür.

Microsoft daha sonra SolarWinds saldırısının bilgisayar korsanlarının sınırlı sayıda Azure, Intune ve Exchange bileşeninin kaynak kodunu çalmasına olanak sağladığını doğruladı.

Haziran 2021’de bilgisayar korsanlığı grubu bir Microsoft kurumsal hesabını tekrar ihlal ederek müşteri destek araçlarına erişmelerine olanak tanıdı.

Hacking grubunun Rusya Dış İstihbarat Servisi’nin (SVR) bir parçası olduğuna inanılıyor ve diplomatlara ve devlet kurumlarına yönelik saldırılar da dahil olmak üzere dünya çapında çok sayıda saldırıyla bağlantılı olduğu düşünülüyor.



Source link