Microsoft, Midnight Blizzard saldırısı sonrasında iç güvenlik uygulamalarını düzenleme kararı aldı.
Microsoft, Cuma günü yaptığı Securities and Exchange Commission (SEC) başvurusunda, devlet destekli tehdit grubu Midnight Blizzard’ın gerçekleştirdiği bir saldırı sonrasında iç güvenlik uygulamalarında önemli değişiklikler yapmayı planladığını açıkladı. Şirket, saldırganların üst düzey Microsoft yöneticileri ve diğer çalışanlardan e-posta ve diğer verileri çaldığını belirtti.
Saldırganlar, şirkete erişim sağlamak için eski test tenant hesabını ele geçirdi. Saldırgan, hesabın izinlerini kullanarak siber güvenlik, hukuk ve diğer departmanlardaki üst düzey yöneticiler ve çalışanların ait e-posta ve ek dosyalara ulaştı.
Nobelium adıyla bilinen saldırgan, önceki SolarWinds ve diğer şirketlere yönelik 2020 Sunburst saldırılarının arkasındaydı. ABD makamları, Aralık ayında JetBrains TeamCity sunucularındaki güncellenmemiş güvenlik açıklarını sömürdüğü tespit edilen Midnight Blizzard hakkında uyarıda bulundu.
Analistler ve güvenlik araştırmacıları, saldırının Microsoft ürünlerinin güvenliği ve şirketin müşterilerinden talep ettiği uygulamaları içerip içermediği konusunda ciddi sorular ortaya attı. Saldırganlar, Kasım ayının sonlarından itibaren Microsoft’un ortamına erişim sağlamak için “password-spray” saldırısı kullandı. Saldırılar, 12 Ocak’ta keşfedilene kadar fark edilmedi.
CrowdStrike’in Counter Adversary Operations yöneticisi Meyers, Microsoft’un son yıllarda bulut ortamını hedef alan ciddi saldırılara maruz kaldığını belirtti. Bunlar arasında geçen yıl ABD Dışişleri ve Ticaret Bakanlığı’na ait binlerce e-postayı içeren saldırılarında bulunduğunu belirtti.
Microsoft, “eski sistemleri ve iç iş süreçlerine mevcut güvenlik standartlarımızı derhal uygulayacağız, bu değişiklikler mevcut iş uygulamalarına olası bir aksaklığa neden olsa bile” diye de ekledi.