Hewlett Packard Enterprise (HPE), bugün Midnight Blizzard olarak bilinen şüpheli Rus bilgisayar korsanlarının, siber güvenlik ekibinden ve diğer departmanlardan veri çalmak için şirketin Microsoft Office 365 e-posta ortamına erişim sağladığını açıkladı.
Midnight Blizzard, diğer adıyla Cozy Bear, APT29 ve Nobelium, Rusya’nın Dış İstihbarat Servisi’nin (SVR) bir parçası olduğuna inanılan, Rus devleti destekli bir bilgisayar korsanlığı grubudur. Tehdit aktörleri yıl boyunca, meşhur 2020 SolarWinds tedarik zinciri saldırısı da dahil olmak üzere çok sayıda saldırıyla ilişkilendirildi.
Yeni bir Form 8-K SEC dosyasında HPE, 12 Aralık’ta şüpheli Rus bilgisayar korsanlarının Mayıs 2023’te bulut tabanlı e-posta ortamlarını ihlal ettiklerinin kendilerine bildirildiğini söyledi.
“Araştırmamıza göre, tehdit aktörünün Mayıs 2023’ten itibaren siber güvenlik, pazara giriş, iş segmentleri ve diğer fonksiyonlarımızdaki kişilere ait HPE posta kutularının küçük bir yüzdesine erişip bu verileri sızdırdığına inanıyoruz.” SEC dosyası.
HPE, ihlali hala araştırdıklarını söylüyor ancak bunun, tehdit aktörlerinin şirketin SharePoint sunucusuna erişim sağladığı ve dosyaları çaldığı Mayıs 2023’teki önceki bir ihlalle ilgili olduğuna inanıyor.
Şirket, olayı araştırmak için harici siber güvenlik uzmanları ve kolluk kuvvetleriyle birlikte çalışmaya devam ediyor.
İhlalle ilgili diğer sorulara yanıt olarak HPE, aşağıdaki beyanı BleepingComputer ile paylaştı.
“12 Aralık 2023’te HPE’ye, şüpheli bir ulus devlet aktörünün şirketin Office 365 e-posta ortamına yetkisiz erişim sağladığı bildirildi. HPE, bir soruşturma başlatmak, olayı düzeltmek ve etkinliği ortadan kaldırmak için derhal siber yanıt protokollerini etkinleştirdi. Devam eden bu soruşturmanın ardından, bu ulus devlet aktörünün Mayıs 2023’ten itibaren siber güvenlik, pazara giriş, iş segmentleri ve diğer fonksiyonlarımızdaki kişilere ait HPE posta kutularının küçük bir yüzdesine eriştiğini ve bu verileri sızdırdığını belirledik. Ulus devlet aktörünün Rahat Ayı olarak da bilinen Midnight Blizzard olduğuna inanıyoruz.
Erişilen veriler kullanıcıların posta kutularında bulunan bilgilerle sınırlıdır. Araştırmaya devam ediyoruz ve gerektiği şekilde gerekli bildirimleri yapacağız.
Tedbirli davranmak ve yeni düzenleyici açıklama yönergelerinin ruhuna uyma arzusuyla, Menkul Kıymetler ve Borsa Komisyonu’nu ve yatırımcıları bu olay hakkında bilgilendirmek için bir 8-K formu doldurduk. Bununla birlikte, işimiz üzerinde operasyonel bir etki yaşanmadı ve şu ana kadar bu olayın maddi bir mali etki yaratacağını tespit etmedik.”
HPE daha fazla ayrıntı sunmasa da Microsoft yakın zamanda Midnight Blizzard tarafından, liderlik ekibi de dahil olmak üzere şirketin kurumsal e-posta hesaplarından veri hırsızlığını da içeren bir güvenlik ihlali bildirdi.
Microsoft’un ihlali, tehdit aktörlerinin hesabın şifresini kaba kuvvetle kullanarak sistemlerine giriş yapmasına olanak tanıyan yanlış yapılandırılmış bir test kiracısı hesabından kaynaklandı.
Bu erişimi kullanan Midnight Blizzard, Microsoft’un üst düzey liderlik ekibinden ve siber güvenlik ve hukuk departmanlarındaki çalışanlardan veri çalmak için kurumsal e-posta hesaplarına erişim elde etti.
HPE, BleepingComputer’a olayın Microsoft’la ilgili olup olmadığını bilmediklerini söyledi.