Kremlin bağlantısı olan bilgisayar korsanlarının, posta kutusu verilerini sızdırmak için bilgi teknolojisi şirketi Hewlett Packard Enterprise’ın (HPE) bulut e-posta ortamına sızdıklarından şüpheleniliyor.
Şirket, ABD’ye sunduğu düzenleyici bir dosyada, “Tehdit aktörü, Mayıs 2023’ten itibaren siber güvenlik, pazara giriş, iş segmentleri ve diğer fonksiyonlarımızdaki kişilere ait HPE posta kutularının küçük bir yüzdesine erişti ve bu verileri sızdırdı” dedi. Menkul Kıymetler ve Borsa Komisyonu (SEC).
İzinsiz girişin, APT29 olarak bilinen ve aynı zamanda BlueBravo, Cloaked Ursa, Cozy Bear, Midnight Blizzard (eski adıyla Nobelium) ve The Dukes isimleriyle takip edilen Rus devleti destekli gruba atfedildiği belirtiliyor.
Açıklama, Microsoft’un aynı tehdit aktörünü Kasım 2023’ün sonlarında üst düzey yöneticilerin ve şirketin siber güvenlik ve hukuk departmanlarındaki diğer kişilerin e-postalarını ve eklerini çalmak için kurumsal sistemlerinin ihlaline dahil etmesinden birkaç gün sonra geldi.
HPE, olaydan 12 Aralık 2023’te haberdar edildiğini, bunun da tehdit aktörlerinin altı aydan fazla bir süre boyunca ağ içinde tespit edilmeden varlığını sürdürdüğü anlamına geldiğini söyledi.
Ayrıca, saldırının muhtemelen Mayıs 2023 gibi erken bir tarihte sınırlı sayıda SharePoint dosyasına yetkisiz erişim ve bu dosyaların sızdırılmasını içeren, yine APT29’a atfedilen önceki bir güvenlik olayıyla bağlantılı olduğu belirtildi. Haziran 2023’te kötü amaçlı etkinlik konusunda uyarıldı.
Ancak HPE, olayın bugüne kadar operasyonları üzerinde herhangi bir maddi etkisinin olmadığını vurguladı. Şirket, saldırının boyutunu ve erişilen e-posta bilgilerini tam olarak açıklamadı.
Rusya’nın Dış İstihbarat Servisi’nin (SVR) bir parçası olduğu değerlendirilen APT29, 2016’da Demokratik Ulusal Komite’ye yapılan saldırı ve 2020 SolarWinds tedarik zinciri uzlaşması da dahil olmak üzere son yıllarda bazı yüksek profilli saldırıların arkasındaydı.