Microsoft Çalınan Hesap’ların Peşinde: Çinli Hackerların Saldırısının Ardındaki Gizem

Microsoft, Çinli hackerların bir Microsoft Hesabı (MSA) imza anahtarını çalarak Exchange Online ve Azure AD hesaplarını ihlal ettiğini ve bunun da hükümet kurumları dahil olmak üzere 24 kuruluşun hesaplarını etkilediğini açıkladı. Microsoft, bugün yayımlanan yeni bir belgede “Saldırganın anahtarı nasıl elde ettiği, devam eden bir soruşturma konusudur” dedi.

Olay, birkaç kamu kurumunun Exchange Online e-posta hizmetlerine izinsiz erişimleri keşfetmesi ardından ortaya çıktı. Microsoft, saldırıları 16 Haziran’da araştırmaya başladı ve Storm-0558 olarak takip ettiği bir Çin siber grubunun, ABD Dışişleri ve Ticaret Bakanlıkları da dahil olmak üzere yaklaşık 25 kuruluşun e-posta hesaplarına sızdığını tespit etti.

Saldırganlar, çalınan Azure AD imzalama anahtarını kullanarak GetAccessTokenForResource API hatasını istismar ederek ve sahte yetkilendirme jetonları oluşturarak postalara erişim sağladılar. Storm-0558, PowerShell,Python betiklerini ve OWA Exchange Store hizmetine REST API Call’ları kullanarak e-postaları ve ekleri çalmayı başardılar. Ancak Microsoft bu saldırıları geçen ay kabul etmemişti. Microsof bu gün yaptığı açıklamada ise: “Telemetri ve soruşturmalarımız, saldırı sonrası etkinliklerin hedeflenen kullanıcılar için e-posta erişimi ve veri çıkarmayla sınırlı olduğunu göstermektedir.” dedi. Şirket, 3 Temmuz’da etkilenen tüm müşteriler için çalınan özel imza anahtarının kullanımını engellediğini belirtti.

Azure AD jetonu oluşturma engellemek için MSA imza anahtarları iptal edildi

Microsoft ayrıca 27 Haziran’da, yeni erişim jetonları oluşturma girişimlerini engellemek için tüm geçerli MSA imza anahtarlarını iptal ederek bunları kurumsal sistemleri için kullandığı anahtar deposuna taşıdı.

Microsoft, “Microsoft’un, saldırganın elde ettiği MSA imza anahtarını iptal etmesinden sonra herhangi bir anahtarla ilgili saldırgan etkinlik tespit edilmedi” dedi.

Ancak Redmond, tüm aktif MSA imza anahtarlarını iptal etme ve API hatasını giderme işlemlerinin ardından artık herhangi bir anahtarla ilişkili Storm-0558 etkinliği tespit etmediğini belirtse de, bugünkü yayınlanan belgelerde saldırganların başka tekniklere geçtiği belirtiliyor.

Microsoft, Salı günü RomCom Rus siber suç grubunun, henüz güncelleme yayınlanmayan Office zero-day açığını kullanarak Litvanya’nın Vilnius şehrinde düzenlenen NATO Zirvesi’ne katılan kuruluşlara karşı gerçekleştirdiği phishing saldırılarında kullanıldığını açıkladı.

Kaynak: bleepingcomputer.com

Exit mobile version