Microsoft araştırmacıları Çarşamba günü yaptıkları açıklamada, Rus hükümeti ile bağlantılı bir bilgisayar korsanlığı grubunun, kullanıcıları teknik destekten geliyormuş gibi davranarak Microsoft Teams sohbetlerine dahil ederek oturum açma kimlik bilgilerini çalmaya yönelik bir kampanya ile düzinelerce küresel kuruluşu hedef aldığını söyledi.
Microsoft araştırmacıları bir blogda yaptıkları açıklamada, bu “yüksek hedefli” sosyal mühendislik saldırılarının Mayıs ayının sonlarından bu yana “40’tan az sayıda benzersiz küresel kuruluşu” etkilediğini ve şirketin soruşturma yürüttüğünü belirtti.
Washington’daki Rus Büyükelçiliği yorum talebine hemen yanıt vermedi.
Araştırmacılar, bilgisayar korsanlarının teknik destek gibi görünen alan adları ve hesaplar oluşturduklarını ve Teams kullanıcılarıyla sohbet ederek çok faktörlü kimlik doğrulama (MFA) istemlerini onaylamalarını sağlamaya çalıştıklarını söyledi.
Microsoft, saldırıyı yapanları engelledi. Öte yandan Şirketin bu faaliyeti araştırmaya ve saldırının etkisini düzeltmek için çalışmaya devam ettiği belirtildi.
280 MİLYONDAN FAZLA KULLANICISI BULUNUYOR
Teams, şirketin Ocak ayı mali açıklamasına göre 280 milyondan fazla aktif kullanıcısı olan Microsoft’un tescilli iş iletişim platformudur.
MFA’lar, kimlik bilgilerinin hacklenmesini veya çalınmasını önlemeyi amaçlayan yaygın olarak önerilen bir güvenlik önlemidir. Teams’in hedef alması, bilgisayar korsanlarının bunu aşmak için yeni yollar bulduğunu gösteriyor.
HACK GRUBUNUN RUSYA MERKEZLİ OLDUĞU SÖYLENDİ
Araştırmacılar, sektörde Midnight Blizzard veya APT29 olarak bilinen bu faaliyetin arkasındaki hack grubunun Rusya merkezli olduğunu ve İngiltere ve ABD hükümetlerinin bu grubu ülkenin dış istihbarat servisiyle ilişkilendirdiğini söyledi.
Bu faaliyette hedef alınan kuruluşlar muhtemelen Rus hack grubu Midnight Blizzard’ın hükümet, sivil toplum kuruluşları (STK’lar), BT hizmetleri, teknoloji, ayrık üretim ve medya sektörlerine yönelik özel casusluk hedeflerine işaret ediyor. Yetkililer ise hedeflerden herhangi birinin adını belirtmedi.
Araştırmacılar, “Bu son saldırı, geçmişteki faaliyetlerle birleştiğinde, Midnight Blizzard’ın hem yeni hem de yaygın teknikleri kullanarak hedeflerini gerçekleştirmeye devam ettiğini gösteriyor” diye yazdı.
Midnight Blizzard’ın özellikle ABD ve Avrupa’da 2018’e kadar bu tür kuruluşları hedef aldığının bilindiğini de eklediler.
ALAN ADLARINI MICROSOFT YAPARAK KİMLİK AVINA ÇIKTILAR
Microsoft blogunda yer alan ayrıntılara göre, bilgisayar korsanları küçük işletmelere ait ve zaten ele geçirilmiş Microsoft 365 hesaplarını kullanarak teknik destek kuruluşu gibi görünen ve içinde “Microsoft” kelimesi geçen yeni alan adları oluşturdu.
Araştırmacılar, bu alan adlarına bağlı hesapların daha sonra Teams aracılığıyla insanları yemlemek için kimlik avı mesajları gönderdiğini söyledi.