Rusya'dan Microsoft'a saldırı: 40'tan fazla kuruluş etkilendi!
Microsoft, onlarca Teams kimlik avı saldırısının arkasında Rusya bağlantılı bilgisayar korsanlarının olduğunu açıkladı. Saldırının Mayıs ayının sonlarından bu yana "40'tan az sayıda benzersiz küresel kuruluşu" etkilediği belirtildi.
Microsoft araştırmacıları Çarşamba günü yaptıkları açıklamada, Rus hükümeti ile bağlantılı bir bilgisayar korsanlığı grubunun, kullanıcıları teknik destekten geliyormuş gibi davranarak Microsoft Teams sohbetlerine dahil ederek oturum açma kimlik bilgilerini çalmaya yönelik bir kampanya ile düzinelerce küresel kuruluşu hedef aldığını söyledi.
Microsoft araştırmacıları bir blogda yaptıkları açıklamada, bu "yüksek hedefli" sosyal mühendislik saldırılarının Mayıs ayının sonlarından bu yana "40'tan az sayıda benzersiz küresel kuruluşu" etkilediğini ve şirketin soruşturma yürüttüğünü belirtti.
WASHİNGTON RUS BÜYÜKELÇİLİĞİ YORUM YAPMADI
Araştırmacılar, bilgisayar korsanlarının teknik destek gibi görünen alan adları ve hesaplar oluşturduklarını ve Teams kullanıcılarıyla sohbet ederek çok faktörlü kimlik doğrulama (MFA) istemlerini onaylamalarını sağlamaya çalıştıklarını söyledi.
Reuters'in aktardığı bilgilere göre, olayın ardından Washington'daki Rus Büyükelçiliği'nden cevap gelmediği belirtildi.
Teams, şirketin Ocak ayı mali açıklamasına göre 280 milyondan fazla aktif kullanıcısı olan Microsoft'un tescilli iş iletişim platformudur.
Araştırmacılar, sektörde Midnight Blizzard veya APT29 olarak bilinen bu faaliyetin arkasındaki hack grubunun Rusya merkezli olduğunu ve İngiltere ve ABD hükümetlerinin bu grubu ülkenin dış istihbarat servisiyle ilişkilendirdiğini söyledi.
Araştırmacılar, "Bu son saldırı, geçmişteki faaliyetlerle birleştiğinde, Midnight Blizzard'ın hem yeni hem de yaygın teknikleri kullanarak hedeflerini gerçekleştirmeye devam ettiğini gösteriyor" diye yazdı.
ABD VE AVRUPA RUS HACKERLARIN HEDEFİNDE
Midnight Blizzard'ın özellikle ABD ve Avrupa'da 2018'e kadar bu tür kuruluşları hedef aldığının bilindiğini de eklediler.
Microsoft blogunda yer alan ayrıntılara göre, bilgisayar korsanları küçük işletmelere ait halihazırda ele geçirilmiş Microsoft 365 hesaplarını kullanarak teknik destek kuruluşu gibi görünen ve içinde "microsoft" kelimesi geçen yeni alan adları oluşturdu.
Araştırmacılar, bu alan adlarına bağlı hesapların daha sonra Teams aracılığıyla insanları yemlemek için kimlik avı mesajları gönderdiğini söyledi.