Microsoft, Midnight Blizzard grubu olarak tanımlanan Rus hükümeti hackerlarının kurumsal e-posta sistemlerine başarıyla sızdığını ve kaynak kodlarını çaldığını açıkladı.
Teknoloji devi yakın zamanda, geçen yıl gerçekleşen önceki bir saldırıdan elde edilen bilgiler kullanılarak yapılan yetkisiz erişim girişimlerini keşfetti. Devam eden bu siber saldırı, ulus devlet aktörlerinin neden olduğu sürekli tehdidi vurguluyor ve önemli teknolojik altyapının güvenliğine ilişkin ciddi endişeleri artırıyor.
Microsoft'un 8 Mart 2024 tarihli duyurusunda, APT29 veya Cosy Bear olarak da bilinen Midnight Blizzard'ın, kaynak kodu depoları da dahil olmak üzere dahili sistemlerine yetkisiz erişim elde etmek için başlangıçta şirketin kurumsal e-posta sistemlerinden sızdırılan bilgileri kullandığı ayrıntılı olarak belirtildi.
Bu ihlal, bir önceki yılın Kasım ayında başlayan ve siber güvenlik ve hukuk fonksiyonları da dahil olmak üzere çeşitli departmanlardaki üst düzey yöneticilerin ve çalışanların kurumsal e-posta hesaplarını hedef alan bir dizi izinsiz girişin bir parçası.
Bilgisayar korsanlarının, değerli kaynak kodlarını çalmak ve Microsoft'un operasyonları hakkındaki bilgilerine ilişkin istihbarat toplamak da dahil olmak üzere birçok amacı var gibi görünüyor.
İhlal, Microsoft'un ABD Menkul Kıymetler ve Borsa Komisyonu'na, durumun ciddiyetini ve şirketin güvenlik duruşu ve itibarı üzerindeki olası sonuçlarını vurgulayan bir rapor sunmasına yol açtı.
Kötü amaçlı yazılım analizi hızlı ve basit olabilir. Size şu yolu göstermemize izin verin:
- Kötü amaçlı yazılımlarla güvenli bir şekilde etkileşime geçin
- Linux'ta ve tüm Windows işletim sistemi sürümlerinde sanal makine kurulumu
- Bir takımda çalışın
- Maksimum veriyle ayrıntılı raporlar alın
Tüm bu özellikleri şimdi sanal alana tamamen ücretsiz erişimle test etmek istiyorsanız:
ANY.RUN'da kötü amaçlı yazılımları ücretsiz analiz edin
Midnight Blizzard'ın Taktikleri
Midnight Blizzard, Kasım 2023'ün sonlarında başlayan karmaşık bir siber saldırı yoluyla Microsoft'un sistemlerine erişim sağladı.
Grup, Microsoft ortamındaki eski, üretim dışı bir test kiracısı hesabını tehlikeye atmak için parola sprey saldırısı kullandı.
Bu tür saldırılar, hesap kilitlenmelerini tetiklememek için birçok hesapta ortak şifrelerin denenmesini içerir.
Bir yer edindikten sonra, üst düzey yöneticilerin ve siber güvenlik, hukuk ve diğer işlevlerdeki çalışanların hesapları da dahil olmak üzere Microsoft kurumsal e-posta hesaplarının küçük bir yüzdesine erişmek için hesabın izinlerini kullandılar.
Saldırganlar bu hesaplardan e-postaları ve ekteki belgeleri sızdırdı. Soruşturma, Midnight Blizzard'ın başlangıçta kendi operasyonlarıyla ilgili bilgiler için e-posta hesaplarını hedef aldığını, muhtemelen Microsoft'un onlar hakkında ne bildiğini anlamaya yönelik bir karşı istihbarat çabası olduğunu öne sürüyor.
İlk ihlalin ardından Midnight Blizzard, sızdırdıkları bilgileri, kaynak kodu depoları da dahil olmak üzere Microsoft'un dahili sistemlerine daha fazla yetkisiz erişim girişiminde bulunmak için kullandı.
Microsoft, Şubat 2024'te şifre sprey saldırılarında Ocak ayında görülen hacme kıyasla on kata kadar bir artış tespit etti; bu, grubun faaliyetlerinde önemli bir artışa işaret ediyor.
Microsoft, müşteriye yönelik sistemlerin güvenliğinin ihlal edildiğine dair hiçbir kanıt bulunmadığını belirtti.
“Tehdit aktörünün devam eden saldırısı, tehdit aktörünün kaynaklarına, koordinasyonuna ve odağına yönelik sürekli ve önemli bir bağlılıkla karakterize edilir. Microsoft, “Tehdit aktörünün faaliyetlerine ilişkin aktif araştırmalarımız devam ediyor, araştırmalarımızın bulguları gelişmeye devam edecek ve daha fazla yetkisiz erişim meydana gelebilir” dedi.
Microsoft, bu karmaşık tehditlere karşı savunma yapmak için güvenlik yatırımlarını ve kurumlar arası koordinasyonu artırdı.
Şirket, ortamını Midnight Blizzard'ın faaliyetlerine karşı korumak ve güçlendirmek için gelişmiş güvenlik kontrolleri, tespitler ve izlemeler uyguladı.
Microsoft'un proaktif önlemleri, ihlalden potansiyel olarak etkilenen müşterilere, hafifletici önlemler almalarına yardımcı olmak için ulaşmayı da içeriyor.
Microsoft'un şeffaflığa ve araştırmalarından elde edilen bulguları paylaşmaya olan bağlılığı, onun ulus devlet aktörlerinin neden olduğu siber güvenlik sorunlarına çözüm bulma konusundaki kararlılığını yansıtıyor.
Microsoft'un kurumsal e-posta sistemlerinin ihlali ve kaynak kodlarının Rus casusları tarafından çalınması, geniş kapsamlı sonuçları olan önemli bir siber güvenlik olayını temsil ediyor.
Midnight Blizzard'ın taktikleri, ulus devlet siber casusluk çabalarının karmaşık ve kaynak yoğun doğasını vurguluyor.
Midnight Blizzard APT Grubunun Tarihçesi
Midnight Blizzard, APT29, Nobelium, Cozy Bear ve diğerleri gibi isimlerle bilinen, Rus devleti destekli bir siber casusluk grubudur. Uzun yıllardan beri faaliyet gösteren örgüt, Rusya'nın dış politika çıkarlarını desteklemek amacıyla istihbarat toplamak amacıyla karmaşık siber operasyonlara girişiyor.
Midnight Blizzard'ın Önemli Siber Saldırıları
SolarWinds Tedarik Zinciri Saldırısı (2020): Midnight Blizzard'a atfedilen en önemli ve karmaşık siber casusluk kampanyalarından biri SolarWinds saldırısıydı. Bu operasyon, ağ izleme ve diğer BT hizmetlerini sağlayan SolarWinds şirketinin yazılım tedarik zincirini tehlikeye attı. Saldırı, birçok ABD devlet kurumu ve özel sektör şirketi de dahil olmak üzere 18.000'den fazla müşteri kuruluşunun ihlaline yol açtı.
Demokratik Ulusal Komite Hack'i: Midnight Blizzard, bir başka Rus APT grubu (APT28) ile birlikte, 2016 ABD Başkanlık Seçimleri sırasında Demokratik Ulusal Komite'ye (DNC) yönelik siber saldırılara karışmıştı. Bu operasyonların amacı seçim sürecine müdahale etmek ve istihbarat toplamaktı.
Hewlett Packard Enterprise (HPE) İhlali: Aralık 2023'te HPE, Midnight Blizzard'ın Mayıs 2023'ten bu yana Microsoft Office 365 e-posta sistemine yetkisiz erişim elde ettiğini açıkladı. Saldırganlar, HPE'nin siber güvenlik, pazara giriş, iş segmentleri ve diğer işlevlerdeki kişilere ait posta kutularını hedef alarak hassas verileri sızdırdı. veri.
Perimeter81 kötü amaçlı yazılım korumasıyla Truva atları, fidye yazılımları, casus yazılımlar, rootkit'ler, solucanlar ve sıfır gün saldırıları dahil olmak üzere kötü amaçlı yazılımları engelleyebilirsiniz. Hepsi inanılmaz derecede zararlıdır ve ağınıza zarar verebilir.
Siber Güvenlik haberleri, Teknik İncelemeler ve İnfografiklerden haberdar olun. Bizi LinkedIn'de takip edin & heyecan.