Çinli hacker’lar, Microsoft bulut hatasını kullanarak ABD hükümetinin e-posta hesaplarına baskın düzenledi. Teknoloji devi Microsoft, Çinli bilgisayar korsanlarının ABD hükümet çalışanlarının e-posta hesaplarına erişmek için Microsoft’un bulut e-posta hizmetindeki bir kusurdan yararlandığını doğruladı.
Microsoft’a göre, Storm-0558 olarak izlenen bilgisayar korsanlığı grubu, devlet kurumları da dahil olmak üzere yaklaşık 25 e-posta hesabının yanı sıra bu kuruluşlarla ilişkili kişilerle bağlantılı ilgili tüketici hesaplarını ele geçirdi. “Storm”, Microsoft tarafından yeni, gelişmekte olan veya “geliştirme aşamasında” bilgisayar korsanlığı gruplarını izlemek için kullanılan bir takma addır.
Çinli hacker’lar, ABD hükümetinin e-posta hesaplarını hack’lemeyi başardı
Microsoft, Storm-0558 tarafından hedeflenen devlet kurumlarını belirlemedi. Beyaz Saray Ulusal Güvenlik Konseyi sözcüsü Adam Hodge, ABD hükümet kurumlarının etkilendiğini doğruladı.
Hodge, “Geçen ay ABD hükümeti koruma önlemleri, Microsoft’un bulut güvenliğinde sınıflandırılmamış sistemleri etkileyen bir saldırı tespit etti.” “Yetkililer, bulut hizmetlerindeki kaynağı ve güvenlik açığını bulmak için hemen Microsoft ile iletişime geçti. ABD hükümetinin tedarik sağlayıcılarını yüksek bir güvenlik eşiğinde tutmaya devam ediyoruz.” dedi.
The Wall Street Journal’a göre Dışişleri Bakanlığı, tehlikeye atılan birkaç federal kurumdan biriydi. Devlet, Microsoft’u ihlal konusunda uyardı.
Microsoft’un araştırması, şirketin “kaynakları iyi” bir düşman olarak tanımladığı Çin merkezli bir bilgisayar korsanlığı grubu olan Storm-0558’in, kimlik doğrulama belirteçleri oluşturarak Exchange Online (OWA) ve Outlook.com’daki Outlook Web Access’i kullanarak e-posta hesaplarına erişim kazandığını belirledi. Kullanıcı hesaplarına erişmek için.
Microsoft, saldırıyla ilgili teknik analizinde, bilgisayar korsanlarının OWA ve Outlook.com’a erişmek için belirteçleri taklit etmek için edinilmiş bir Microsoft tüketici imzalama anahtarını kullandıklarını açıkladı. Ardından bilgisayar korsanları, Azure AD kullanıcılarının kimliğine bürünmek ve kurumsal e-posta hesaplarına erişim elde etmek için bir belirteç doğrulama sorunundan yararlandı.
Microsoft, Storm-0885’in kötü amaçlı etkinliğinin, müşterilerin Microsoft’u anormal posta etkinliği konusunda uyarana kadar yaklaşık bir ay boyunca tespit edilmediğini söyledi.
“Bu düşmanın, istihbarat toplamak için e-posta sistemlerine erişim elde etmek gibi casusluk faaliyetlerine odaklandığını değerlendiriyoruz. Microsoft’un üst düzey siber güvenlik yöneticisi Charlie Bell, “Bu tür casusluk güdümlü düşman, kimlik bilgilerini kötüye kullanmaya ve hassas sistemlerde bulunan verilere erişmeye çalışıyor” dedi.
Microsoft, Hacker’ların bu e-posta hesaplarına erişiminin kesildiğini belirtti
Microsoft, saldırının başarıyla hafifletildiğini ve Storm-0558’in artık tehlikeye atılan hesaplara erişimi olmadığını söyledi. Ancak şirket, saldırganların erişime sahip olduğu bir aylık süre boyunca herhangi bir hassas verinin çalınıp çalınmadığını açıklamadı.
ABD siber güvenlik ajansı CISA, bir danışma belgesinde, saldırganların sınıflandırılmamış e-posta verilerine eriştiğini söyledi.
Kıdemli bir FBI yetkilisi, toplam kurban sayısını doğrulamayı reddetti, ancak etkilenen devlet kurumlarının sayısının “tek haneli” olduğunu söyledi. Yetkili, etkilenen kurumların isimlerini söylemeyi de reddetti.
Olayın genel etkisi bilinmemekle birlikte, üst düzey bir CISA yetkilisi, ajansın, ABD hükümetinin henüz Çin’e atfetmediği, hükümet destekli bir aktörün “sınırlı miktarda” Exchange Online verisini sızdırdığını belirlediğini ekledi.
CISA ve FBI, Microsoft 365’te anormal etkinlik algılayan tüm kuruluşları bunu ajanslara bildirmeye çağırıyor.
Yorumunuzu girin