Microsoft araştırmacıları Çarşamba günü yaptıkları açıklamada, Rus hükümeti ile ilişkili bir bilgisayar korsanlığı kümesinin, kullanıcıları teknik takviyeden geliyormuş üzere davranarak Microsoft Teams sohbetlerine dahil ederek oturum açma kimlik bilgilerini çalmaya yönelik bir kampanya ile düzinelerce global kuruluşu maksat aldığını söyledi.
Microsoft araştırmacıları bir blogda yaptıkları açıklamada, bu “yüksek hedefli” toplumsal mühendislik hücumlarının Mayıs ayının sonlarından bu yana “40’tan az sayıda eşsiz global kuruluşu” etkilediğini ve şirketin soruşturma yürüttüğünü belirtti.
Washington’daki Rus Büyükelçiliği yorum talebine çabucak cevap vermedi.
Araştırmacılar, bilgisayar korsanlarının teknik takviye üzere görünen alan isimleri ve hesaplar oluşturduklarını ve Teams kullanıcılarıyla sohbet ederek çok faktörlü kimlik doğrulama (MFA) istemlerini onaylamalarını sağlamaya çalıştıklarını söyledi.
Microsoft, saldırıyı yapanları engelledi. Öte yandan Şirketin bu faaliyeti araştırmaya ve akının tesirini düzeltmek için çalışmaya devam ettiği belirtildi.
280 MİLYONDAN FAZLA KULLANICISI BULUNUYOR
Teams, şirketin Ocak ayı mali açıklamasına nazaran 280 milyondan fazla faal kullanıcısı olan Microsoft’un tescilli iş irtibat platformudur.
MFA’lar, kimlik bilgilerinin hacklenmesini yahut çalınmasını önlemeyi amaçlayan yaygın olarak önerilen bir güvenlik tedbiridir. Teams’in gaye alması, bilgisayar korsanlarının bunu aşmak için yeni yollar bulduğunu gösteriyor.
HACK KÜMESİNİN RUSYA MERKEZLİ OLDUĞU SÖYLENDİ
Araştırmacılar, bölümde Midnight Blizzard yahut APT29 olarak bilinen bu faaliyetin gerisindeki hack kümesinin Rusya merkezli olduğunu ve İngiltere ve ABD hükümetlerinin bu kümesi ülkenin dış istihbarat servisiyle ilişkilendirdiğini söyledi.
Bu faaliyette maksat alınan kuruluşlar muhtemelen Rus hack kümesi Midnight Blizzard’ın hükümet, sivil toplum kuruluşları (STK’lar), BT hizmetleri, teknoloji, ayrık üretim ve medya dallarına yönelik özel casusluk gayelerine işaret ediyor. Yetkililer ise maksatlardan rastgele birinin ismini belirtmedi.
Araştırmacılar, “Bu son atak, geçmişteki faaliyetlerle birleştiğinde, Midnight Blizzard’ın hem yeni hem de yaygın teknikleri kullanarak maksatlarını gerçekleştirmeye devam ettiğini gösteriyor” diye yazdı.
Midnight Blizzard’ın bilhassa ABD ve Avrupa’da 2018’e kadar bu tıp kuruluşları amaç aldığının bilindiğini de eklediler.
ALAN İSİMLERİNİ MICROSOFT YAPARAK KİMLİK AVINA ÇIKTILAR
Microsoft blogunda yer alan detaylara nazaran, bilgisayar korsanları küçük işletmelere ilişkin ve zati ele geçirilmiş Microsoft 365 hesaplarını kullanarak teknik dayanak kuruluşu üzere görünen ve içinde “Microsoft” sözü geçen yeni alan isimleri oluşturdu.
Araştırmacılar, bu alan isimlerine bağlı hesapların daha sonra Teams aracılığıyla insanları yemlemek için kimlik avı bildirileri gönderdiğini söyledi.
