Microsoft Cuma günü, kurumsal sistemlerine yönelik bir ulus devlet saldırısının hedefi olduğunu ve bunun sonucunda şirketin siber güvenlik ve hukuk departmanlarındaki üst düzey yöneticilerin ve diğer kişilerin e-posta ve eklerinin çalındığını açıkladı.
Windows üreticisi saldırıyı, APT29, BlueBravo, Cloaked Ursa, Cozy Bear ve The Dukes olarak da bilinen Midnight Blizzard (eski adıyla Nobelium) olarak izlediği bir Rus (APT) grubuna bağladı.
Ayrıca, 12 Ocak 2024’te saldırılar keşfedildikten sonra kötü niyetli faaliyeti araştırmak, bozmak ve azaltmak için adımlar attığı belirtildi. Saldırıların Kasım 2023’ün sonlarında başladığı tahmin ediliyor.
Microsoft, “Tehdit aktörü, kullanım dışı olan bir test hesabını ele geçirmek ve hesaba erişmek için bir parola püskürtme saldırısı kullandı ve ardından hesabın izinlerini, üst düzey liderlik ekibimizin üyeleri ve siber güvenlik, hukuk ve diğer işlevlerimizdeki çalışanlar da dahil olmak üzere Microsoft kurumsal e-posta hesaplarının çok küçük bir yüzdesine erişmek için kullandı ve bazı e-postaları ve ekli belgeleri dışarı sızdırdı” dedi.
Redmond, saldırının, tehdit aktörlerinin kendileriyle ilgili bilgilere erişmek istediklerini gösterdiğini söyledi. Ayrıca saldırının ürünlerindeki herhangi bir güvenlik açığından kaynaklanmadığını ve saldırganın müşteri ortamlarına, üretim sistemlerine, kaynak koduna veya yapay zeka sistemlerine eriştiğine dair bir kanıt bulunmadığını vurguladı.
Daha önce yüksek profilli SolarWinds tedarik zinciri tehlikesinden sorumlu olan bilgisayar korsanlığı ekibi, bir kez Aralık 2020’de Azure, Intune ve Exchange bileşenleriyle ilgili kaynak kodunu atlatmak için ve ikinci kez Haziran 2021’de parola püskürtme ve kaba kuvvet saldırıları yoluyla üç müşterisini ihlal ederek Microsoft’u iki kez hedef seçerek başarmıştı.
Microsoft Güvenlik Yanıt Merkezi (MSRC), “Bu saldırı, Midnight Blizzard gibi iyi kaynaklara sahip ulus-devlet tehdit aktörlerinin tüm kuruluşlar için oluşturduğu riskin devam ettiğini vurgulamaktadır.” dedi.
