Bilgisayar korsanları Microsoft yazılımlarına saldırıyor ve dünya çapında düzinelerce şirkete giriyor

Yetkililer ve araştırmacılara göre, bilgisayar korsanları son günlerde dünya çapında kullanılan Microsoft yazılımındaki bir güvenlik açığından yararlanarak ABD'deki devlet kurumlarına ve şirketlere yönelik bir saldırı başlattı ve ABD'deki federal ve eyalet kurumlarına, üniversitelere (aralarında ismi açıklanmayan bir Brezilya üniversitesi de var) ve şirketlere girdi.

ABD hükümeti ve Kanada ile Avustralya'daki ortakları, bulutta belge paylaşımı ve yönetimi için bir platform olan şirket içi SharePoint sunucularının ele geçirildiğini araştırıyor. Uzmanlar, bu sunuculardan on binlercesinin risk altında olduğunu söylüyor.

Saldırı, Hollanda merkezli Eye Security adlı bir siber güvenlik şirketi tarafından Cuma günü (18) tespit edildi. Saldırıdan sorumlu kuruluş veya amacı hakkında henüz bir bilgi yok.

Microsoft, Cumartesi günü (19) yazılımına yönelik "aktif saldırılar" konusunda bir uyarı yayınladı ve güvenlik açıklarının yalnızca kuruluşlar içinde kullanılan SharePoint sunucularını etkilediğini belirtti. Bulut tabanlı Microsoft 365'teki SharePoint Online'ın saldırılardan etkilenmediği belirtildi.

Büyük miktarda internet trafiğini izleyen Google, Pazartesi günü (21) saldırıların en azından bir kısmını Çin bağlantılı bir tehdit aktörüne bağladığını söyledi.

Resimde, yeşil ikili kodlu bir arka plan üzerinde bir kişinin silüeti görülüyor. 0 ve 1 rakamları, derinlik hissi veren bir hareket efekti yaratan bir düzende düzenlenmiş. Figür, muhtemelen bir cihazla etkileşimde bulunan veya bir aktiviteye odaklanmış gibi görünüyor. — FBI, Microsoft yazılımına yönelik saldırıyı araştırıyor - Kacper Pempel/Reuters

Microsoft, cumartesi günkü uyarısında, bir güvenlik açığının "yetkili bir saldırganın bir ağı taklit etmesine olanak tanıdığını" belirterek, saldırganların bu açığı istismar etmesini önlemek için öneriler yayınladı.

Sahtecilik saldırısında, bir aktör kimliğini gizleyerek ve güvenilir bir kişi, kuruluş veya web sitesi gibi görünerek finansal piyasaları veya kurumları manipüle edebilir.

Microsoft sözcüsü, "Müdahalemiz boyunca CISA [ABD Siber Güvenlik ve Altyapı Güvenlik Ajansı], DOD Siber Savunma Komutanlığı ve dünya genelindeki önemli siber güvenlik ortaklarıyla yakın koordinasyon içindeyiz" dedi.

Şirket, güvenlik güncellemeleri yayınladığını ve müşterilerinden bunları hemen yüklemelerini istediğini iddia ediyor. Microsoft'a göre, kullanıcıların ihlali engellemek için SharePoint sunucu programlarında değişiklik yapmaları veya internet bağlantılarını kesmeleri gerekiyor.

FBI Pazar günü (20) saldırıların farkında olduğunu ve federal ve özel sektör ortaklarıyla yakın bir şekilde çalıştığını söyledi ancak başka ayrıntı vermedi.

Washington Post'a göre, bilinmeyen bir güvenlik açığını hedef aldığı için "Sıfır Gün" olarak adlandırılan saldırı, casusların güvenlik açığı bulunan sunuculara girmesine ve potansiyel olarak kurban kuruluşlara sürekli erişim sağlamak için bir arka kapı oluşturmasına olanak sağladı.

Eye Security, genellikle Outlook e-postasına, Teams'e ve diğer temel hizmetlere bağlanan bu sunuculara erişimin, hassas verilerin çalınmasına ve parolaların ele geçirilmesine yol açabileceğini belirtti.

Araştırmacılar ayrıca bilgisayar korsanlarının, bir sisteme yama uygulandıktan sonra bile sisteme tekrar giriş yapmalarını sağlayacak anahtarlara eriştikleri konusunda uyardı.

Siber güvenlik uzmanlarına göre, bu açık binlerce veriyi tehlikeye atmış olabilir. Siber güvenlik firması CrowdStrike'ın kıdemli başkan yardımcısı Adam Meyers, "Barındırılan bir SharePoint sunucusu olan herkesin bir sorunu var," dedi. "Bu önemli bir güvenlik açığı."

Palo Alto Networks'ün 42. Ünitesinin kıdemli yöneticisi Pete Renals, "Ticari ve kamu sektörlerine yayılan düzinelerce tehlikeye maruz kalmış kuruluş tespit ettik" dedi.

Saldırının tespitine yardımcı olan iki siber güvenlik firması Eye Security ve Shadowserver Foundation, etkilenen kuruluş sayısının 100'e ulaştığını bildirdi. Shadowserver, etkilenenlerin çoğunun ABD ve Almanya'da olduğunu belirtti.

Washington Post'un görüştüğü siber güvenlik uzmanları, Brezilya'daki bir üniversitenin ve İspanya'daki bir devlet kurumunun da saldırıya uğradığını belirtti. Etkilenen kuruluşların kimlikleri açıklanmadı, ancak her iki şirket de ülkedeki yetkilileri uyardı.

Eye Security'nin hacker lideri Vaisha Bernard'a göre, müşterilerinden birini hedef alan bir hacker saldırısı Cuma günü (18) keşfedildi. Saldırıyı kontrol altına almak için önlemler alındı, ancak şirket bu süre zarfında ne yapılmış olabileceğini bilmediğini söyledi.

Bernard, Reuters haber ajansına verdiği röportajda, "O zamandan beri diğer saldırganların başka arka kapılar kurmak için neler yaptığını kim bilir?" yorumunu yaptı. The Washington Post'a konuşan bir araştırmacı, Microsoft'un uyarıyı yayınlamadaki gecikmesinin durumu daha da kötüleştirmiş olabileceği konusunda uyardı.

Bilgisayar korsanları yapay zekadaki kusurları aramakla görevlendirildi

Washington Post'a göre, saldırıyı kimin gerçekleştirdiği veya nihai amacının ne olduğu henüz belli değil. Özel bir araştırma şirketi, bilgisayar korsanlarının Çin'deki sunucuların yanı sıra Amerika Birleşik Devletleri'nin doğusundaki bir eyalet meclisini hedef aldığını keşfetti.

Eye Security, aralarında ABD'nin önemli bir eyaletindeki bir enerji şirketinin ve çeşitli Avrupa hükümet kurumlarının da bulunduğu yaklaşık 100 ihlali takip ettiğini söyledi.

Araştırmacılar, en az iki ABD federal kurumunun sunucularının ihlal edildiğini ve mağdurlarla yapılan gizlilik anlaşmalarının hedeflerin isimlerini açıklamalarını engellediğini söyledi.

ABD'nin doğusundaki bir eyalet yetkilisi, saldırganların, vatandaşların hükümetlerinin nasıl çalıştığını anlamalarına yardımcı olmak için halka sunulan bir belge deposunu ele geçirdiğini söyledi. İlgili kurum artık bu belgelere erişemiyor, ancak silinip silinmediği henüz belli değil.

Bu tür "silme" saldırıları nadirdir ve bu saldırı, haber yayıldıkça diğer eyaletlerdeki yetkilileri endişelendirdi. Bazı güvenlik firmaları, SharePoint saldırılarında herhangi bir silme işlemi görmediklerini, yalnızca bilgisayar korsanlarının sunuculara tekrar girmesini sağlayacak kriptografik anahtarların çalındığını belirtti.

Arizona'da siber güvenlik yetkilileri, olası güvenlik açıklarını değerlendirmek ve bilgi paylaşmak için eyalet, yerel ve kabile yetkilileriyle toplantılar yapıyordu. Konuya aşina bir kaynak, Washington Post'a yaptığı açıklamada, ABD genelinde sorunu çözmek için "çılgın bir mücadele" yürütüldüğünü söyledi.

İhlaller, Microsoft'un bu ay bir güvenlik açığını düzeltmesinin ardından meydana geldi. İç Güvenlik Bakanlığı'na bağlı Siber Güvenlik ve Altyapı Güvenlik Ajansı'na (CISA) göre, bilgisayar korsanları benzer bir güvenlik açığından yararlanabileceklerini fark ettiler.

CISA sözcüsü Marci McCarthy, kurumun Cuma günü bir siber araştırma firması tarafından konuyla ilgili bilgilendirildiğini ve derhal Microsoft ile iletişime geçildiğini söyledi.

Microsoft geçmişte çok dar kapsamlı yamalar yayınladığı ve benzer saldırı yollarını açık bıraktığı için eleştirilmişti.

Hükümetlere en büyük teknoloji sağlayıcılarından biri olan teknoloji devi, son iki yılda kendi kurumsal ağlarına ve yönetici e-postalarına yönelik ihlaller de dahil olmak üzere başka büyük sorunlarla da karşılaştı. Bulut hizmetlerindeki bir programlama hatası da Çin destekli bilgisayar korsanlarının federal çalışanların e-postalarını çalmasına olanak sağladı.

Cuma günü Microsoft, araştırma kuruluşu ProPublica'nın bir raporunun uygulamayı ortaya çıkarmasının ardından Savunma Bakanlığı'nın bulut bilişim programlarını desteklemek için Çin merkezli mühendisleri kullanmayı bırakacağını söyledi. Bu durum, Savunma Bakanı Pete Hegseth'in Pentagon'un bulut anlaşmalarının gözden geçirilmesini emretmesine yol açtı.

ABD'deki eyalet ve yerel yönetimler için bir bilgi paylaşım grubu bulunduran kâr amacı gütmeyen İnternet Güvenliği Merkezi'nin başkan yardımcısı Randy Rose, kuruluşun savunmasız ve potansiyel olarak tehlike altında olan yaklaşık 100 kuruluşu bilgilendirdiğini söyledi. Uyarılanlar arasında devlet okulları ve üniversiteler de vardı.

Rose, sürecin Cumartesi gecesi altı saat sürdüğünü, bunun normalde olması gerekenden çok daha uzun olduğunu, çünkü CISA'nın fonları kesmesi nedeniyle tehdit istihbaratı ve olay müdahale ekiplerinin yüzde 65 oranında azaltıldığını söyledi.

CISA'ya geçici bir yönetici başkanlık etse de, aday Sean Plankey henüz onaylanmadığı için, kurum personeli konu üzerinde "gece gündüz çalışıyor" dedi bir sözcü. "Direksiyon başında kimse uyumadı."

Washington Post'un görüştüğü siber güvenlik araştırmacılarına göre, ABD ve Almanya'daki şirketler ile Brezilya'daki bir üniversitenin yanı sıra İspanya'daki bir devlet kurumu da hedef alındı.

İngiltere Ulusal Siber Güvenlik Merkezi, yaptığı açıklamada, İngiltere'de "sınırlı sayıda" hedef olduğunun farkında olduklarını söyledi.

uol

Bilgisayar korsanları Microsoft yazılımlarına saldırıyor ve dünya çapında düzinelerce şirkete giriyor