Microsoft, Amerika Birleşik Devletleri’nde Microsoft e-posta hizmeti kullanan işletmeler ve devlet kurumlarının, muhtemelen Çin hükümeti tarafından desteklenen saldırgan bir bilgisayar korsanlığı kampanyasında ele geçirildiğini söyledi.
Bazı güvenlik uzmanları, ihlalle ilgili soruşturma devam ederken kurban sayısının on binleri bulduğunu ve artabileceğini düşünüyor. Saldırıyı keşfeden siber güvenlik firması Volexity’ye göre, bilgisayar korsanları Ocak ayında birkaç hedefe gizlice saldırdı, ancak geçtiğimiz haftalarda Microsoft saldırıda kötüye kullanılan güvenlik açıklarını onarmaya çalışırken çabalarını artırdı.
ABD hükümetinin siber güvenlik kurumu, bilgisayar korsanlığı kampanyasının çok sayıda hedefi etkilediğine dair endişeler üzerine Çarşamba günü bir acil durum uyarısı yayınladı. Uyarı, federal kurumları sistemlerini derhal yamalamaya çağırdı. Cuma günü, siber güvenlik muhabiri Brian Krebs saldırının en az 30.000 Microsoft müşterisini vurduğunu bildirdi.
Beyaz Saray basın sekreteri Jen Psaki Cuma günü bir basın brifinginde, “Çok sayıda kurban olduğu konusunda endişeliyiz,” dedi. Saldırının “geniş kapsamlı etkileri olabilir” diye ekledi.
Saldırının, en az 250 federal kurum ve işletmeyi etkileyen SolarWinds olarak bilinen Rus bilgisayar korsanlarının Aralık ayına girmesinden daha büyük olduğuna inanılıyor. Geçen ay, Kongre üyeleri endüstri liderlerine Rus saldırısının neden fark edilmediğini sorguladılar.
En son saldırı, Microsoft tarafından oluşturulan ve küçük işletmelerden federal devlet kurumlarına kadar geniş bir müşteri yelpazesi tarafından kullanılan bir posta ve takvim sunucusu olan Exchange’deki boşluklardan yararlandı. Microsoft bir blog gönderisinde, bilgisayar korsanlarının hedeflerini gözetlemeye devam etmek için e-postaları çalabildiğini ve kötü amaçlı yazılım yükleyebildiğini söyledi.
Volexity’den araştırmacılar bir blog yazısında, “Son derece yetenekli saldırganlar, savunmaları atlatmak ve hedeflerine erişim sağlamak için yenilikler yapmaya devam ediyor. “Bu saldırganlar, iki faktörlü kimlik doğrulama dahil olmak üzere kimlik doğrulamasını atlamak için yeni saldırılar gerçekleştiriyor ve hedef kuruluşlardaki ilgilenilen e-posta hesaplarına erişmelerine ve savunmasız Microsoft Exchange sunucularında uzaktan kod yürütmelerine olanak tanıyor. ”
Bu konu hakkında halka açık bir şekilde konuşma yetkisi olmayan ABD’deki korsanlarla ilgili soruşturmayı inceleyen bir siber güvenlik araştırmacısına göre, bilgisayar korsanları internette bulabildikleri kadar çok kurbanı hedef aldılar, küçük işletmeleri, yerel yönetimleri ve büyük kredi birliklerini vurdular. Bilgisayar korsanları tarafından sıfır gün olarak bilinen kusurlar daha önce Microsoft tarafından bilinmiyordu.
Beyaz Saray ulusal güvenlik danışmanı Jake Sullivan, “Microsoft’un Exchange Server yazılımındaki daha önce bilinmeyen güvenlik açıkları ve ABD düşünce kuruluşları ve savunma sanayi üssü kuruluşlarının olası tehlikelerine ilişkin raporları yakından takip ediyoruz,” dedi.
ABD Siber Güvenlik ve Altyapı Ajansı’nın eski yöneticisi Christopher Krebs, “Gerçek anlaşma bu,” diye tweet attı. (Bay Krebs, kurbanların sayısını açıklayan siber güvenlik muhabiriyle ilgili değildir.)
Krebs, Microsoft’un Exchange programını kullanan şirketlerin ve kuruluşların 26 Şubat ile 3 Mart arasında saldırıya uğradıklarını varsaymaları ve geçtiğimiz hafta Microsoft tarafından yayınlanan yamaları yüklemek için hızla çalışmaları gerektiğini ekledi.
Microsoft, Hafnium olarak bilinen Çinli bir bilgisayar korsanlığı grubunun, “devlet destekli olduğu ve Çin dışında faaliyet gösterdiği değerlendirilen bir grup” saldırının arkasında olduğunu söyledi.
Microsoft, şirketin saldırıyı ifşa etmesinden bu yana, Hafnium’a bağlı olmayan diğer bilgisayar korsanlarının, sistemlerine yama uygulamayan kuruluşları hedeflemek için güvenlik açıklarından yararlanmaya başladığını söyledi. Şirket, “Microsoft, birden fazla kötü niyetli aktör tarafından yamalanmamış sistemleri hedefleyen saldırılarda bu güvenlik açıklarının artan kullanımını görmeye devam ediyor” dedi.
Bu sistemlere yama uygulamak basit bir iş değildir. E-posta sunucularının bakımı, güvenlik uzmanları için bile zordur ve birçok kuruluş, kendi sunucularını güvenli bir şekilde barındırma uzmanlığından yoksundur. Microsoft yıllardır bu müşterileri, Microsoft’un onlar için güvenliği yönetebileceği buluta geçmeye zorluyor. Sektör uzmanları, güvenlik olaylarının müşterileri buluta geçmeye teşvik edebileceğini ve Microsoft için mali bir nimet olabileceğini söyledi.
Nicole Perlroth haberciliğe katkıda bulundu.