Microsoft, Batı Avrupa Hükümetlerini Hedef Alan Çin Siber Saldırısını Engelledi

Microsoft, Çinli bir ulusal aktör tarafından gerçekleştirilen bir siber saldırıyı püskürttüğünü açıkladı. Bu saldırı, gizli verileri elde etmeyi amaçlayan bir siber casusluk kampanyası kapsamında, bazıları hükümet kurumları olan 24 organizasyona yönelikti.

Saldırılar, 15 Mayıs 2023 tarihinde başladı ve yaklaşık 25 kuruluşun e-posta hesaplarına erişimi etkiledi ve az sayıda ilgili bireysel tüketici hesabını etkiledi.

Teknoloji devi, kampanyayı Çin merkezli bir devlet faaliyet grubu olan Storm-0558’e atfetti ve bunun özellikle Batı Avrupa’daki hükümet kurumlarına yönelik bir faaliyet olduğunu belirtti.

“Bu grup, casusluk, veri hırsızlığı ve kimlik bilgisi erişimi üzerinde yoğunlaşır,” dedi Microsoft. “Ayrıca, Microsoft tarafından Cigril ve Bling olarak takip edilen özel kötü amaçlı yazılımları, kimlik bilgisi erişimi için kullanır.”

Sızıntının, kimliği belirsiz bir müşterinin anormal e-posta aktivitesini Microsoft’a bildirmesinden bir ay sonra, 16 Haziran 2023 tarihinde tespit edildi.

Microsoft, hedeflenen veya etkilenen tüm organizasyonları doğrudan kiracı yöneticileri aracılığıyla bilgilendirdi. Hangi organizasyonların ve kurumların etkilendiği ve kaç hesabın hacklendiği açıklanmadı.

Redmond’a göre, müşteri e-posta hesaplarına erişim, kimlik doğrulama simgelerini taklit ederek Exchange Online’daki Outlook Web Access (OWA) ve Outlook.com üzerinden sağlandı.

“Aktör, OWA ve Outlook.com’a erişmek için bir MSA anahtarını taklit etmek için simgeleri kullanmıştır,” açıklamasını yaptı. “MSA (tüketici) anahtarları ve Azure AD (kurumsal) anahtarları ayrı sistemlerden verilir ve yönetilir ve sadece ilgili sistemler için geçerli olmalıdır.”

“Aktör, bir simge doğrulama sorunundan faydalanarak Azure AD kullanıcılarını taklit etmiş ve kurumsal e-postalara erişim elde etmiştir.” Tehdit aktörünün, saldırıları gerçekleştirmek için Azure AD anahtarları veya başka MSA anahtarları kullandığına dair bir kanıt bulunmamaktadır. Microsoft, saldırıyı hafifletmek için MSA anahtarıyla imzalanan simgelerin OWA’da kullanımını engellemiştir.

Microsoft Security’nin İcra Başkan Yardımcısı Charlie Bell, “Bu tür casusluk amaçlı bir tehdit aktörü, kimlik bilgilerini kötüye kullanmayı ve hassas sistemlerde bulunan verilere erişim sağlamayı hedefler,” dedi.

Bu açıklama, Microsoft’un Amerika Birleşik Devletleri’nde Volt Typhoon (aynı zamanda Bronze Silhouette veya Vanguard Panda olarak da bilinen) adlı bir Çin düşmanı kolektif tarafından gerçekleştirilen kritik altyapı saldırılarını ortaya çıkarmasından bir aydan daha uzun bir süre sonra geldi.

About The Author

Reply