Haber: Damla Oya Erman
Şirket, saldırıyı 12 Ocak 2024'te tespit ettiğini ve hemen müdahale sürecini başlattığını açıkladı.
Microsoft Security Response Center'ın yaptığı açıklamaya göre, "Microsoft güvenlik ekibi, kurumsal sistemlerimize yönelik 12 Ocak 2024'te bir devlet destekli saldırıyı tespit etti ve derhal yanıt sürecini başlattı. Microsoft, tehdit aktörünü Nobelium olarak tanımladı, ki bu da Rus devleti tarafından desteklenen bir grup" ifadelerine yer verildi.
Nobelium, daha önce 2020'deki ünlü SolarWinds ihlalinden sorumlu tutulan bir grup.
Microsoft'un paylaştığı bilgilere göre, saldırganlar "Microsoft kurumsal e-posta hesaplarının çok küçük bir yüzdesine" erişim sağladı. Bu hesaplar arasında şirketin üst düzey liderleri ile siber güvenlik ve hukuk departmanlarından çalışanlara ait olanlar da bulunuyordu.
Şirket, saldırganların bazı e-posta ve belgeleri ele geçirmeyi başardığını, ancak şu aşamada saldırganların Midnight Blizzard ile ilgili bilgileri araştırdığını belirtti. Bu, aynı grupun 2020'de SolarWinds'in bozuk yazılımını kullanarak ABD ajanslarına sızdığı ve ardından ABD hükümetinin bu saldırılara nasıl yanıt verdiğini izlemeye çalıştığı olaya benziyor.
Microsoft, etkilenen e-posta hesaplarına erişilen çalışanları bilgilendirmek üzere bir süreç başlattığını belirtti. Şirket, şu anda saldırganların müşteri ortamlarına veya yapay zeka sistemlerine herhangi bir erişiminin olmadığına dair bir kanıt bulunmadığını ifade etti.
Saldırının Kasım 2023'ün sonlarına doğru başladığını belirten Microsoft, saldırganların başlangıçta "parola püskürtme saldırısı" adı verilen bir yöntemi kullanarak ilk girişimi ele geçirdiğini söyledi. Parola püskürtme, yaygın olarak bilinen şifreleri kullanarak büyük bir hesap numarasına erişim sağlama girişimidir.
Microsoft, soruşturmanın devam ettiğini ve yasal birimlerle işbirliği yapmaya devam edeceklerini, daha fazla bilgi elde edildikçe kamuoyuyla paylaşacaklarını belirtti. Şirket, saldırının gösterdiği gibi "Midnight Blizzard" gibi güçlü kaynaklara sahip devlet destekli tehdit aktörlerinin tüm organizasyonlar için devam eden bir risk oluşturduğuna dikkat çekti.
Microsoft'un sistemleri, son zamanlarda birkaç yüksek profilli siber saldırının hedefi olmuştu. Saldırıyla ilgili olarak Cybersecurity and Infrastructure Security Agency'nin (Cybersecurity ve Altyapı Güvenliği Ajansı) henüz bir yanıt vermediği bildirildi. FBI ise e-posta yoluyla yaptığı açıklamada, "FBI, olayın farkında ve federal ortaklarımızla işbirliği yaparak yardım sağlıyoruz. Her zamanki gibi, siber bir olayın mağduru olan herkesi yerel FBI saha ofisine başvurmaya davet ediyoruz" ifadelerini kullandı.
