11.03.2024
Microsoft, Cuma günü duyurduğu üzere, Kremlin destekli tehdit aktörü olan APT29 veya Cozy Bear olarak da bilinen Midnight Blizzard'ın, Ocak 2024'te ortaya çıkan bir hack olayında bazı kaynak kodu depolarına ve iç sistemlere başarıyla sızdığını bildirdi.
Son zamanlarda, Midnight Blizzard'ın Microsoft'un kurumsal e-posta sistemlerinden başlangıçta çıkartılan bilgileri kullanarak yetkisiz erişim sağladığı veya bunu denediği yönünde deliller ortaya çıktı. Bu yetkisiz erişim, belirli kaynak kodu depolarını ve iç sistemleri kapsıyordu, ancak Microsoft'un barındırdığı müşterilerle iç içe olan sistemlerin tehlikeye girdiğine dair bir kanıt bulunmuyor.
Redmond, sızma alanının boyutunu aktif olarak araştırıyor ve Rus devlet destekli tehdit aktörünün e-posta iletişimi aracılığıyla müşterilerle paylaşılan çeşitli sırları kullanma eğiliminde olduğunu açıkladı. Bu sızan sırların ölçeği açıklanmamış olsa da, Microsoft etkilenen müşterilere doğrudan başvuruda bulundu.
Microsoft, güvenlik yatırımlarını artırdığını vurgularken, Midnight Blizzard'ın Şubat ayında şifre saldırılarını yoğunlaştırdığını, Ocak ayında gözlemlenen zaten yüksek hacmin 10 katına kadar ulaştığını belirtti.
Microsoft, devam eden saldırıyı şu şekilde tanımladı: "Midnight Blizzard'ın devam eden saldırısı, tehdit aktörünün kaynaklarını, koordinasyonunu ve odaklanmasını sürdüren, önemli bir taahhüdü karakterize ediyor." Şirket, saldırganın elde ettiği bilgileri kullanarak savunmasız alanları tespit etme ve daha fazla saldırı başlatma yeteneğini artırabileceğini düşünüyor, bu da devlet saldırıları tarafından oluşturulan benzersiz küresel tehdidine dikkat çekiyor.
2023 Kasım ayında meydana gelen sızma, Midnight Blizzard'ın çok faktörlü kimlik doğrulama (MFA) eksikliğine sahip eski, üretim dışı bir test kiracı hesabını infiltrasyon için şifre spreyi saldırısıyla kullandığı bir olayı içeriyordu. Microsoft daha önce APT29'un çeşitli başlangıç erişim yöntemlerini kullanarak diğer organizasyonlara yönelik hedef aldığını açıklamıştı, bunlar arasında çalınmış kimlik bilgilerinden tedarik zinciri saldırılarına kadar çeşitli yöntemler bulunuyordu.
Rusya'nın Dış İstihbarat Servisi (SVR) ile ilişkilendirilen Midnight Blizzard, en az 2008'den beri faaliyet gösteriyor ve SolarWinds gibi yüksek profilli kuruluşlara sürekli olarak saldırılar gerçekleştiriyor.
Sızma olayına yanıt olarak Tenable CEO'su Amit Yoran, "Midnight Blizzard'ın Microsoft'a saldırısı stratejik bir darbe" dedi. Yoran, Microsoft'un şeffaflığını eleştirerek, "Microsoft'un yaygınlığı, onlardan sürekli olarak gösterdikleri şeffaflık ve sorumluluk seviyesini gerektirir. Hatta şu an bile, henüz hangi kaynak kodunun ihlal edildiğini bilmiyoruz. Bu ihlaller birbirinden izole değil ve Microsoft'ın gölgeli güvenlik uygulamaları ve yanıltıcı ifadeleri bütün gerçeği kasıtlı olarak karıştırıyor" şeklinde konuştu.