Microsoft araลtฤฑrmacฤฑlarฤฑ รarลamba gรผnรผ yaptฤฑklarฤฑ aรงฤฑklamada, Rus hรผkรผmeti ile baฤlantฤฑlฤฑ bir bilgisayar korsanlฤฑฤฤฑ grubunun, kullanฤฑcฤฑlarฤฑ teknik destekten geliyormuล gibi davranarak Microsoft Teams sohbetlerine dahil ederek oturum aรงma kimlik bilgilerini รงalmaya yรถnelik bir kampanya ile dรผzinelerce kรผresel kuruluลu hedef aldฤฑฤฤฑnฤฑ sรถyledi.
Microsoft araลtฤฑrmacฤฑlarฤฑ bir blogda yaptฤฑklarฤฑ aรงฤฑklamada, bu “yรผksek hedefli” sosyal mรผhendislik saldฤฑrฤฑlarฤฑnฤฑn Mayฤฑs ayฤฑnฤฑn sonlarฤฑndan bu yana “40’tan az sayฤฑda benzersiz kรผresel kuruluลu” etkilediฤini ve ลirketin soruลturma yรผrรผttรผฤรผnรผ belirtti.
Washington‘daki Rus Bรผyรผkelรงiliฤi yorum talebine hemen yanฤฑt vermedi.
Araลtฤฑrmacฤฑlar, bilgisayar korsanlarฤฑnฤฑn teknik destek gibi gรถrรผnen alan adlarฤฑ ve hesaplar oluลturduklarฤฑnฤฑ ve Teams kullanฤฑcฤฑlarฤฑyla sohbet ederek รงok faktรถrlรผ kimlik doฤrulama (MFA) istemlerini onaylamalarฤฑnฤฑ saฤlamaya รงalฤฑลtฤฑklarฤฑnฤฑ sรถyledi.
Araลtฤฑrmacฤฑlar “Microsoft, aktรถrรผn etki alanlarฤฑnฤฑ kullanmasฤฑnฤฑ engelledi ve bu faaliyeti araลtฤฑrmaya ve saldฤฑrฤฑnฤฑn etkisini dรผzeltmek iรงin รงalฤฑลmaya devam ediyor” diye ekledi.
Teams, ลirketin Ocak ayฤฑ mali aรงฤฑklamasฤฑna gรถre 280 milyondan fazla aktif kullanฤฑcฤฑsฤฑ olan Microsoft’un tescilli iล iletiลim platformu.
MFA’lar, kimlik bilgilerinin hacklenmesini veya รงalฤฑnmasฤฑnฤฑ รถnlemeyi amaรงlayan yaygฤฑn olarak รถnerilen bir gรผvenlik รถnlemidir. Teams’in hedef almasฤฑ, bilgisayar korsanlarฤฑnฤฑn bunu aลmak iรงin yeni yollar bulduฤunu gรถsteriyor.
Araลtฤฑrmacฤฑlar, sektรถrde Midnight Blizzard veya APT29 olarak bilinen bu faaliyetin arkasฤฑndaki hack grubunun Rusya merkezli olduฤunu ve ฤฐngiltere ve ABD hรผkรผmetlerinin bu grubu รผlkenin dฤฑล istihbarat servisiyle iliลkilendirdiฤini sรถyledi.
“Bu faaliyette hedef alฤฑnan kuruluลlar muhtemelen Midnight Blizzard’ฤฑn hรผkรผmet, sivil toplum kuruluลlarฤฑ (STK’lar), BT hizmetleri, teknoloji, ayrฤฑk รผretim ve medya sektรถrlerine yรถnelik รถzel casusluk hedeflerine iลaret ediyor” diyen yetkililer, hedeflerden herhangi birinin adฤฑnฤฑ vermedi.
Araลtฤฑrmacฤฑlar, “Bu son saldฤฑrฤฑ, geรงmiลteki faaliyetlerle birleลtiฤinde, Midnight Blizzard’ฤฑn hem yeni hem de yaygฤฑn teknikleri kullanarak hedeflerini gerรงekleลtirmeye devam ettiฤini gรถsteriyor” diye yazdฤฑ.
Midnight Blizzard’ฤฑn รถzellikle ABD ve Avrupa’da 2018’e kadar bu tรผr kuruluลlarฤฑ hedef aldฤฑฤฤฑnฤฑn bilindiฤini de eklediler.
Microsoft blogunda yer alan ayrฤฑntฤฑlara gรถre, bilgisayar korsanlarฤฑ kรผรงรผk iลletmelere ait ve zaten ele geรงirilmiล Microsoft 365 hesaplarฤฑnฤฑ kullanarak teknik destek kuruluลu gibi gรถrรผnen ve iรงinde “microsoft” kelimesi geรงen yeni alan adlarฤฑ oluลturdu. Araลtฤฑrmacฤฑlar, bu alan adlarฤฑna baฤlฤฑ hesaplarฤฑn daha sonra Teams aracฤฑlฤฑฤฤฑyla insanlarฤฑ yemlemek iรงin kimlik avฤฑ mesajlarฤฑ gรถnderdiฤini sรถyledi.
