'Midnight Blizzard' Siber Saldırıları Ortaya Çıktı: Microsoft'un Devlet Destekli Siber Tehditlere Karşı Savaşı
Microsoft yakın zamanda Midnight Blizzard olarak bilinen Rus devlet destekli bir bilgisayar korsanlığı grubu tarafından gerçekleştirilen endişe verici bir ihlali açıkladı. Saldırganlar, kötü amaçlı OAuth uygulamalarının oluşturulması, kullanıcı hesaplarının manipülasyonu ve faaliyetlerini gizlemek için yerleşik proxy ağlarının kullanılması gibi karmaşık taktikler kullandı. Bu ihlal, kuruluşlar için sağlam güvenlik önlemlerinin önemini vurgulamaktadır.
İçindekiler
Midnight Blizzard ve Cozy Bear dernekleri gün yüzüne çıkıyor
Kasım 2023'ün sonlarında Microsoft, Rahat Ayı olarak da bilinen Midnight Blizzard tarafından düzenlenen bir siber saldırının kurbanı oldu. Bilgisayar korsanları, siber güvenlik ve hukuk ekiplerindeki üst düzey yöneticileri ve çalışanları hedef alarak e-posta hesaplarını tehlikeye atmak için şifre sprey saldırıları kullandı. Daha ayrıntılı analizler, saldırganların Microsoft'un kurumsal BT ortamına ayrıcalıklı erişim sağlayan eski bir test OAuth uygulamasından yararlandığını ortaya çıkardı. Belirteç tabanlı kimlik doğrulama standardı olan OAuth, ek kötü amaçlı OAuth uygulamaları oluşturan bilgisayar korsanları tarafından manipüle edildi.
Midnight Blizzard'ın taktikleri, kötü amaçlı OAuth uygulamalarının Office 365 Exchange posta kutularına erişmesine izin vererek yeni bir kullanıcı hesabı oluşturmaya kadar uzandı. Bu erişim, Microsoft'un faaliyetlerine ilişkin farkındalığını ölçmek için e-postaları ve dosyaları indirmelerine olanak tanıdı. Saldırganlar, kökenlerini gizlemek için yerleşik proxy ağlarını kullanarak trafiği meşru kullanıcılar tarafından kullanılan çok sayıda IP adresi üzerinden yönlendirdi.
Veri ihlallerine ve siber saldırılara karşı nasıl mücadele edilir?
Bu tür tehditlere karşı koymak için Microsoft, kuruluşlara, özellikle tanımlanamayan kimliklere ve yüksek ayrıcalıklı uygulamalara odaklanarak kullanıcı ve hizmet ayrıcalıkları üzerinde denetimler yapmalarını önermektedir. Yanlış yapılandırmalar kurumsal posta kutularına yetkisiz erişime olanak verebileceğinden, Exchange Online'da ApplicationImpersonation ayrıcalıklarına sahip kimliklerin incelenmesini tavsiye ediyorlar. Yönetilmeyen cihazlardaki kullanıcılar için anormallik algılama politikaları ve koşullu erişim uygulaması kontrolleri de önerilir.
Midnight Blizzard'ın faaliyetlerinin etkisi, Hewlett Packard Enterprise'ın (HPE) Mayıs 2023'te bulut tabanlı e-posta sistemine yönelik benzer bir saldırıyı ifşa etmesiyle kanıtlandığı gibi Microsoft'un ötesine uzanıyor. Daha önceki bir bilgisayar korsanlığı girişimiyle bağlantılı olan bu olay, Microsoft'tan veri hırsızlığıyla sonuçlandı. HPE posta kutuları ve SharePoint dosyalarına erişim.
Bu ihlallere yanıt olarak kuruluşların tetikte kalması ve Midnight Blizzard gibi devlet destekli bilgisayar korsanlığı gruplarının oluşturduğu riskleri azaltmak için sağlam güvenlik önlemleri uygulaması gerekiyor.
'Midnight Blizzard' Siber Saldırıları Ortaya Çıktı: Microsoft'un Devlet Destekli Siber Tehditlere Karşı Savaşı Ekran Görüntüsü
