Siber savaş / ulus-devlet saldırıları, sahtekarlık yönetimi ve siber suç
CISA Advisory, tehdit aktörlerinin Azure ile barındırılan yedekleme platformunda uygulama sırlarını çaldığını söylüyor
Chris Riotta (@Chrisriotta) •
27 Mayıs 2025
Bize kritik altyapı ve bulut yazılım sağlayıcılarını hedeflediği bilinen Çin hükümet destekli bir hack grubu, veri yönetimi firması Commvault’un bulut ortamının yakın zamanda ihlali ile, bulutta barındırılan hassas hükümetin ve kurumsal verilerin maruz kalmasıyla ilgili endişeleri yeniden canlandırıyor.
Ayrıca bakınız: Ondemand | Kuzey Kore’nin Gizli It Ordusu ve Nasıl Savaşır
ABD Siber Güvenlik ve Altyapı Güvenlik Ajansı, yakın zamanda yapılan bir danışmanlıkta, Commvault’un saldırganların Microsoft 365 yedekleme yazılım platformu için müşteri hizmetlerine erişebildikten sonra Microsoft Azure tarafından barındırılan uygulamalarında tehdit faaliyetlerini tespit ettiğini söyledi. Ajans, bilgisayar korsanlarını adlandırmayı bıraktı. İhlal, tehdit aktörlerine CommVault müşterilerinin uygulama sırlarının depolandığı Microsoft 365 ortamlarına yetkisiz erişim sağladığını söyledi.
Olayı bilen bir kaynak, bilgi güvenliği medya grubuna, yetkililerin, geçen yılki başkan seçen Donald Trump’ı kısmen hedefleyen Amerikan telekomünikasyon altyapısına ihlal eden bir Çin devlet hack birimi olan Salt Typhoon tarafından saldırının gerçekleştirildiğine inandığını doğruladı. Danışma, etkinliğin, varsayılan yapılandırmalar ve yüksek izinler tarafından açık bırakılan bulut uygulamalarına karşı daha geniş bir kampanyaya işaret ettiğini uyardı.
Danışmanlık, Salt Typhoon Hack’in ulusal siber savunmalarda büyük bir başarısızlığa maruz kaldığını söyleyen Ulusal Güvenlik ve Telekomünikasyon analistlerinden Kongre’ye uyarılar izliyor. Uzmanlar, Çin devlet destekli bilgisayar korsanlarının muhtemelen ABD sistemlerine gömülü kaldığı ve başka bir büyük siber saldırının yakın olabileceği konusunda uyardı (bkz:: Uzmanlar Kongre’yi uyarıyor Başka bir tuz tayfun saldırısı geliyor).
Commvault, Mayıs ayında bir blog yayınında Microsoft’un şirketi 20 Şubat’ta bir ulus devlet tehdit oyuncusunun Azure ortamına yetkisiz erişim elde ettiğini söyledi. Şirket, aktörün bazı müşteriler tarafından Microsoft 365 ortamlarını doğrulamak için kullanılan bir uygulama kimlik bilgilerinin bir alt kümesine erişebileceğini söyledi. Müşteri yedekleme verilerine yetkisiz bir erişim olmadığını ve iş operasyonları veya hizmet sunumu üzerinde önemli bir etki olmadığını söyledi.
CISA, kullanıcıları ve yöneticileri CommVault uygulamaları tarafından başlatılan hizmet ana kimlik bilgilerindeki yetkisiz değişiklikler için Entra denetim günlüklerini izlemeye çağırdı. Ajans ayrıca Microsoft günlüklerinin gözden geçirilmesini, iç tehdit avının yürütülmesini, şartlı erişim politikalarının uygulanmasını ve Şubat ve Mayıs ayları arasında Commvault metalik uygulamalarda kullanılan uygulama sırlarını ve kimlik bilgilerini döndürmeyi önerdi.
Ağustos 2019’dan bu yana aktif olan Çin hükümet destekli bir grup olan Salt Typhoon, ABD telekom altyapısına yapılan saldırı sırasında hükümet ağlarındaki telemetri aracılığıyla tanımlandı, o zaman – CISA Direktörü Jen Ocak ayında söyledi (bakınız: CISA Federal Ağlarda İlk Benekli Tuz Typhoon Hacker’ları).
Commvault ihlali ve tuz tayfası arasındaki bağlantı ilk olarak CommVault ürünlerindeki kusurlar hakkında CISA’dan bir Nisan ayında bir uyarı vurgulayan NextGov tarafından bildirildi. Şirket büyük bir federal hizmet kolu işletiyor ve Deloitte ve Sony dahil olmak üzere çeşitli büyük özel müşterilere sahiptir.
Bir Commvault sözcüsü ISMG’ye şirketin “faaliyeti bağımsız olarak belirli bir tehdit oyuncusuna bağlamadığını” söyledi. Açıklamada ayrıca CISA’nın danışmanlığı, şirketin daha önce Mayıs ayı başlarında ajansa bildirdiklerinin ötesinde yeni bir bilgi içermediğini söyledi.
Cisa yorum yapmaktan kaçındı. FBI, yorum talebine hemen yanıt vermedi.