Çin merkezli APT grubu, Microsoft 365 bulut ortamına erişim sağladı ve birkaç hesaptan sınıflandırılmamış Exchange Online Outlook verilerini dışarıya çıkardı. Federal Sivil Yürütme Şubesi (FCEB) tarafından tespit edilen bu olay, siber güvenlik ajansı CISA ve Federal Soruşturma Bürosu (FBI) tarafından onaylandı.
Olayın meydana geldiği Haziran 2023’te, FCEB ajansı Microsoft 365 (M365) bulut ortamlarında şüpheli faaliyetler fark etti ve durumu hemen Microsoft ve CISA’ya bildirdi. Bu bildirimin ardından FBI ve CISA, saldırının etkilerini hafifletmek ve diğer kuruluşlara rehberlik sağlamak amacıyla ortaklaşa bir belge yayınladı.
Microsoft tarafından yapılan açıklamada, Çin merkezli Storm-0558 adlı hacker grubunun Outlook ve Exchange Online e-posta hesaplarına yönelik bir saldırı girişiminde bulunduğu ve bunun başarıyla engellendiği belirtildi. “Storm-0558, Mayıs 2023’ten itibaren neredeyse bir ay boyunca Exchange Online ve Outlook(.)com’un bulut tabanlı Outlook Web Access (OWA) hizmetine erişim sağlamıştır. Bu hedefli saldırı sonucunda 25 kuruluş etkilenmiştir” dendi.
Saldırganlar, Microsoft account signing key sahte authentication tokenlar kullanarak e-posta verilerine ulaştılar. FCEB ajansı, M365 loglarında beklenmeyen ClientAppID ve AppID ile MailItemsAccessed etkinliklerini tespit etti. Bu etkinlik, lisanslı kullanıcıların Exchange Online posta kutularındaki öğelere herhangi bir bağlantı protokolüyle herhangi bir istemci tarafından eriştiğinde oluşur. FCEB ajansı, bu anormal etkinliği fark ettikten sonra AppID’nin ortamlarında rutin olarak posta kutusu öğelerine erişmediğini fark ederek durumu Microsoft ve CISA’ya bildirdi.
Microsoft, hızla elde edilen anahtarla tokenları engelledi ve kötüye kullanımı önlemek için anahtarı değiştirdi. FBI ve CISA, benzer saldırıları önlemek ve siber güvenlik açıklarını kapatmak için kritik altyapı kuruluşlarının logları etkinleştirmelerini şiddetle önermekte. Ayrıca, “The Office of Management and Budget (OMB) M-21-31” gereği Microsoft loglarının en az on iki ay süreyle yedeklenmeli ve on sekiz ay süreyle saklanması gerekmekte. Bu gereksinim, günlüklerin bulut ortamından dışarıya aktarılması veya Microsoft tarafından log saklama politikası oluşturularak yerine getirilebilir.
Kritik altyapı kuruluşlarına yönelik olarak FBI ve CISA, G5/E5 seviyesinde lisanslama gerektiren Purview Audit (Premium) loglama özelliğini etkinleştirmelerini önermekte. Ayrıca, saldırı aktivitelerini tespit etmek için logların operatörler tarafından aranabilir olduğunun kontrol edilmesi de önemli bir adım.
Bu saldırı, siber güvenlik konusunda sürekli bir tehditin varlığını göstermektedir. Kuruluşların denetim günlüklerini etkinleştirmesi, verileri düzenli olarak saklaması ve saldırı aktivitelerini tespit etmek için sürekli bir izleme yapması hayati önem taşımaktadır. FBI ve CISA tarafından sunulan öneriler, benzer saldırıların önlenmesine ve siber güvenlik açıklarının kapatılmasına yardımcı olacaktır.
Kaynak: cybersecuritynews.com