Microsoft, hafta sonu, sistemlerine 2023 yılı sonunda Midnight Blizzard tarafından sızıldığını, Kremlin destekli hackerların neredeyse üç yıl önceki meşhur Sunburst/Solorigate olayında SolarWinds Orion platformunu tehlikeye attığını açıkladı. koordineli ve hedefe yönelik bir bilgi toplama çalışmasıydı.
Microsoft, 19 Ocak 2024 Cuma günü geç saatlerde yayınlanan bir duyuruda, saldırıyı 12 Ocak’ta tespit ettiğini ve saldırıyı engellemek ve bilgisayar korsanlarını sistemlerinden atmak için dahili olay müdahale süreçlerini hemen etkinleştirebildiğini söyledi.
Geçtiğimiz birkaç hafta içinde yapılan araştırmalar, Midnight Blizzard’ın eski bir üretim dışı test kiracısı hesabına, tehdit aktörlerinin çok sayıda potansiyel kullanıcı adını ve kimlik bilgilerini hedefte dolaştırdığı bir tür kaba kuvvet yöntemi olan parola püskürtme saldırısı aracılığıyla eriştiğini ortaya çıkardı. Şansları yaver gidip bir eşleşme bulana kadar sistem.
Saldırganlar, oradan, hesabın yükseltilmiş izinlerini kullanarak üst düzey yöneticilere ve siber güvenlik ve hukuk fonksiyonlarındaki çalışanlara ait Microsoft kurumsal e-posta hesaplarını hedef aldı. Bazı e-postalar ve belgeler alındı.
Microsoft, yaptığı açıklamada, “Soruşturma, başlangıçta Midnight Blizzard ile ilgili bilgiler için e-posta hesaplarını hedeflediklerini gösteriyor” dedi. “E-postalarına erişilen çalışanları bilgilendirme sürecindeyiz.”
Midnight Blizzard, Rus devleti tarafından yürütülen en aktif gelişmiş kalıcı tehdit (APT) operasyonlarından biridir. Daha önce Microsoft’un tehdit sınıflandırmasında değişiklik yapılmadan önce Nobelium adıyla anılmıştı, ancak diğer araştırmacılar ona APT29, UNC2452 ve tartışmasız en ünlüsü Cozy Bear adlarını verdiler.
Firma, “Saldırı, Microsoft ürünleri veya hizmetlerindeki bir güvenlik açığının sonucu değildi” dedi. “Şu ana kadar tehdit aktörünün müşteri ortamlarına, üretim sistemlerine, kaynak koduna veya yapay zekaya erişimi olduğuna dair hiçbir kanıt yok” [artificial intelligence] sistemler. Herhangi bir işlem yapılması gerekiyorsa müşterilerimize bilgi vereceğiz. Bu saldırı, Midnight Blizzard gibi iyi kaynaklara sahip ulus devlet tehdit aktörlerinin tüm kuruluşlar için oluşturduğu sürekli riskin altını çiziyor.”
Microsoft, olayın, güvenlik ile iş riskleri arasında daha iyi bir iç denge kurma konusunda daha hızlı hareket etme ihtiyacının altını çizdiğini söyledi ve bunu yapmak bazı süreçler için sorun yaratsa bile, kendisine daha katı standartlar uygulamaya devam edeceğine söz verdi.
Microsoft, “Soruşturmamıza devam ediyoruz ve bu soruşturmanın sonuçlarına göre ek önlemler alacağız ve kolluk kuvvetleri ve uygun düzenleyicilerle çalışmaya devam edeceğiz” dedi. “Topluluğun tehdit aktörü hakkındaki deneyimlerimizden ve gözlemlerimizden faydalanabilmesi için daha fazla bilgi ve öğrendiklerimizi paylaşmaya son derece kararlıyız. Gerektiğinde ek ayrıntılar sunacağız.”
Gelişen karmaşıklıklar
Exabeam bilgi güvenliği sorumlusu Tyler Farrar, olayın siber güvenliğe özgü gelişen karmaşıklıkların altını çizdiğini söyledi. “Saldırganlar, en az dirençle karşılaşacakları yoldan yararlanarak eski, üretim dışı bir hesaptan yararlanarak kuruluşlar içindeki gizli güvenlik açıklarına ilişkin sıklıkla gözden kaçırılan kavramın altını çizdi” dedi. “Bu tür güvenlik açıklarının inceliği, güvenlik operasyonlarına karşı dikkatli bir yaklaşım gerektiriyor.”
“Microsoft’SEC’in en son açıklama düzenlemeleriyle uyumlu olarak ihlale verdiği yanıt, siber güvenlik olaylarında şeffaflığın ve hızlı eylemin önemini vurguluyor” dedi. “Aynı zamanda kuruluşların dijital altyapılarını herhangi bir potansiyel ‘Tehdit Borcuna’ karşı sürekli olarak taramalarının gerekliliğini de vurguluyor; bu terim, ele alınmamış, hareketsiz güvenlik açıklarıyla ilişkili riskleri kapsayan bir terimdir.”
Kendisi de son derece görünür bir aktör olarak Microsoft’un, kendi verilerini ve fikri mülkiyet haklarını ve geniş müşteri tabanının verilerini çalmak isteyen ulus devletler tarafından hedef alındığını görmek pek de şaşırtıcı olmasa gerek. Aslında bu, teknoloji devinin başına gelen bu türden ilk olay değil.
Geçen yaz Redmond, Storm-0558 olarak bilinen Çinli bir grubun, çalıntı bir Microsoft hesabı tüketici imzalama anahtarı aracılığıyla sahte kimlik doğrulama belirteçleri kullanarak federal e-posta hesaplarına erişebildiğini açıkladıktan sonra ABD hükümet yetkililerinin sorularıyla karşı karşıya kaldı.