Çinli bilgisayar korsanları, Microsoft bulut hatasını kullanarak ABD hükümetinin e-posta hesaplarına baskın düzenledi

Teknoloji devi, Çinli bilgisayar korsanlarının ABD hükümet çalışanlarının e-posta hesaplarına erişmek için Microsoft’un bulut e-posta hizmetindeki bir kusurdan yararlandığını doğruladı.

Microsoft’a göre, Storm-0558 olarak izlenen bilgisayar korsanlığı grubu, devlet kurumları da dahil olmak üzere yaklaşık 25 e-posta hesabının yanı sıra bu kuruluşlarla ilişkili kişilerle bağlantılı ilgili tüketici hesaplarını ele geçirdi. “Fırtına”, Microsoft tarafından yeni, gelişmekte olan veya “geliştirme aşamasında” bilgisayar korsanlığı gruplarını izlemek için kullanılan bir takma addır.

Microsoft, Storm-0558 tarafından hedeflenen devlet kurumlarını belirlemedi. Ancak Beyaz Saray Ulusal Güvenlik Konseyi sözcüsü Adam Hodge, TechCrunch’a ABD devlet kurumlarının etkilendiğini doğruladı.

Hodge, TechCrunch’a yaptığı açıklamada, “Geçen ay ABD hükümeti koruma önlemleri, Microsoft’un bulut güvenliğinde sınıflandırılmamış sistemleri etkileyen bir saldırı tespit etti.” “Yetkililer, bulut hizmetlerindeki kaynağı ve güvenlik açığını bulmak için hemen Microsoft ile iletişime geçti. ABD Hükümetinin tedarik sağlayıcılarını yüksek bir güvenlik eşiğinde tutmaya devam ediyoruz.

Microsoft’un araştırması, şirketin “kaynakları iyi” bir düşman olarak tanımladığı Çin merkezli bir bilgisayar korsanlığı grubu olan Storm-0558’in, kimlik doğrulama belirteçleri oluşturarak Exchange Online (OWA) ve Outlook.com’daki Outlook Web Access’i kullanarak e-posta hesaplarına erişim kazandığını belirledi. Kullanıcı hesaplarına erişmek için. onun içinde saldırının teknik analizi, Microsoft, bilgisayar korsanlarının OWA ve Outlook.com’a erişmek için belirteçleri taklit etmek için edinilmiş bir Microsoft tüketici imzalama anahtarını kullandıklarını açıkladı. Ardından bilgisayar korsanları, Azure AD kullanıcılarının kimliğine bürünmek ve kurumsal e-posta hesaplarına erişim elde etmek için bir belirteç doğrulama sorunundan yararlandı.

Microsoft, Storm-0885’in kötü amaçlı etkinliğinin, müşterilerin Microsoft’u anormal posta etkinliği konusunda uyarana kadar yaklaşık bir ay boyunca tespit edilmediğini söyledi.

“Bu düşmanın, istihbarat toplamak için e-posta sistemlerine erişim elde etmek gibi casusluk faaliyetlerine odaklandığını değerlendiriyoruz. Microsoft’un üst düzey siber güvenlik yöneticisi Charlie Bell, “Bu tür casusluk güdümlü düşman, kimlik bilgilerini kötüye kullanmaya ve hassas sistemlerde bulunan verilere erişim sağlamaya çalışıyor” dedi.

Microsoft, saldırının başarıyla hafifletildiğini ve Storm-0558’in artık tehlikeye atılan hesaplara erişimi olmadığını söyledi. Ancak şirket, saldırganların erişime sahip olduğu bir aylık süre boyunca herhangi bir hassas verinin çalınıp çalınmadığını açıklamadı.