Cozy Bear (aka Midnight Blizzard, namı diğer APT29) büyük teknoloji şirketlerini hacklemek ve casusluk yapmakla meşgul: hem Microsoft hem de Hewlett Packard Enterprise (HPE) yakın zamanda Rusya’ya bağlı APT grubunun başarılı saldırı kampanyalarını açıkladı.
Microsoft’un ihlali
Geçen Cuma Microsoft, Midnight Blizzard olarak tanımlanan bir tehdit aktörünün (Rusya Dış İstihbarat Servisi (SVR) ile ilişkili olduğuna inanılan bir bilgisayar korsanlığı grubu) 12 Ocak 2024’te kurumsal sistemlerini ihlal ettiğini açıkladı.
Şirket, saldırının Kasım 2023’ün sonlarında başladığını ve bilgisayar korsanlarının eski, üretim dışı test kiracısı hesabını tehlikeye atmak için şifre sprey saldırısı kullandığını açıkladı.
Hesabın izinlerinden yararlanarak, üst düzey liderlik ekibi üyelerine ve siber güvenlik ve hukuk departmanlarındaki çalışanlara ait kurumsal e-posta hesaplarının “çok küçük” bir yüzdesine eriştiler ve bazı e-postaları ve ekteki belgeleri çalmayı başardılar.
Microsoft, “Soruşturma, başlangıçta Midnight Blizzard’la ilgili bilgiler için e-posta hesaplarını hedeflediklerini gösteriyor” dedi ve saldırının ürün veya hizmetlerindeki bir güvenlik açığıyla ilgili olmadığı konusunda güvence verdi.
“Şu ana kadar tehdit aktörünün müşteri ortamlarına, üretim sistemlerine, kaynak koduna veya yapay zeka sistemlerine erişimi olduğuna dair hiçbir kanıt yok. Şirket, herhangi bir işlem yapılması gerekiyorsa müşterilerimize bilgi vereceğiz” dedi.
(Bu yılın başlarında Çinli bilgisayar korsanları, Microsoft 365’in e-posta hizmetini ihlal etmek ve ABD hükümeti çalışanlarının hesaplarına erişmek için kullandıkları Microsoft imzalama anahtarını ele geçirmeyi başardılar.)
HPE ihlali
HPE’nin ihlali, SEC 8-K dosyasında açıklandı; şirket, 12 Aralık 2023’te Midnight Blizzard olduğuna inanılan şüpheli bir ulus devlet aktörünün bulut tabanlı e-postalarına yetkisiz erişim sağladığının kendilerine bildirildiğini belirtti. çevre.
“Araştırmamıza göre, tehdit aktörünün Mayıs 2023’ten itibaren siber güvenlik, pazara giriş, iş segmentleri ve diğer fonksiyonlarımızdaki kişilere ait HPE posta kutularının küçük bir yüzdesine erişip bu verileri sızdırdığına inanıyoruz.” şirket kaydetti.
“Bu olaya ve kapsamına ilişkin soruşturmamız devam ederken, Şirket artık bu olayın muhtemelen bu tehdit aktörünün, sınırlı sayıda veriye yetkisiz erişim ve sızmayı içeren, Haziran 2023’te bilgilendirildiğimiz daha önceki faaliyetleriyle ilgili olduğunu anlıyor. SharePoint dosyaları Mayıs 2023 gibi erken bir tarihte.”