Microsoft'tan Çinli Siber Saldırılara Dikkat Çekme

Teknoloji devi Microsoft, devlet destekli bilgisayar korsanlarının yer aldığı Çinli "tehdit aktörlerinin", SharePoint belge paylaşım yazılımı sunucularındaki güvenlik açıklarını istismar ettiğini ve bu hizmeti kullanan işletmelerin verilerini tehdit ettiğini açıkladı.
ABD merkezli şirket, bu konuda yaptığı açıklamada, Çin hükümetiyle bağlantılı Linen Typhoon ve Violet Typhoon ile muhtemelen Çin menşeli Storm-2603 adlı üç grubun, platformu barındıran internete bağlı sunucuları hedef almak amacıyla "yeni güvenlik açıklarını" kullandığını duyurdu.
Şirketin blogunda yer alan bilgilere göre, bu güvenlik açıkları, şirket içi SharePoint sunucularında tespit edilirken, bulut tabanlı hizmetlerde bu tür bir sorun bulunmadığı ifade edildi.
Birçok büyük kuruluş ve işletme, belgelerin depolanması ve ekiplerin bu belgeler üzerinde işbirliği sağlaması için SharePoint'i tercih ediyor. Bu hizmetin, Office ve Outlook gibi diğer Microsoft ürünleriyle uyumlu çalıştığı düşünülüyor.
Microsoft, saldırıların 7 Temmuz'da başladığını bildirdi.

100 KURULUŞ HEDEF ALINDI

Güvenlik açığı, ilk olarak Hollanda merkezli siber güvenlik şirketi Eye Security tarafından tespit edildi.
Microsoft, saldırıların yalnızca kuruluş içerisinde barındırılan sunucuları tehdit ettiğini, Microsoft 365'taki SharePoint Online servisinin ise etkilenmediğini vurguladı.
Eye Security, bilgisayar korsanlarının SharePoint sistemlerine eriştikten sonra, bu sistemlerdeki tüm verilere ulaşabilecekleri konusunda uyarıda bulundu.
Siber güvenlik firması, "SharePoint; genellikle Outlook, Teams ve OneDrive gibi temel hizmetlerle bağlantılı olduğundan, bir ihlalin hızla veri hırsızlığına, parola ele geçirmeye ve ağ içinde yatay hareketlere yol açabileceğini" belirtti.
"Bu, hızla gelişen ve hedefli bir saldırıdır. Yamanmamış SharePoint sunucularına sahip şirketler, sorunlarını çözmek için beklememelidir. Hemen bir güvenlik açığı değerlendirmesi yapmalı ve uygun önlemleri almalıdır." şeklinde uyarıda bulundu.
Bahsedilen güvenlik açıkları, saldırganların kimlik doğrulama bilgilerini taklit ederek sunucularda uzaktan kötü niyetli kod çalıştırmasına olanak tanıyor. Microsoft, saldırganların bir SharePoint sunucusuna "anahtar bilgilerin çalınmasını sağlayan" talepler gönderdiklerini kaydetti.
Eye Security'nin baş bilgisayar korsanı Vaisha Bernard, Reuters'a verdiği demeçte, hafta sonu gerçekleştirilen saldırıdan yaklaşık 100 kuruluşun etkilendiğini ifade etti. Ancak yeni güncellemeye göre bu rakam 400'e yükseldi.

SALDIRILARDAN NASIL KORUNULMALIDIR?

Microsoft, SharePoint kullanan müşterilerine en güncel güvenlik güncellemelerini yüklemelerini ve Antimalware Tarama Arayüzü'nün etkin ve doğru çalıştığını kontrol etmelerini önerdi.
Şirket, bu konudaki güvenlik güncellemelerini yayımladığını ve şirket içi SharePoint sistemlerini kullanan herkesin bu güncellemeleri yüklemesi gerektiğini belirtti. Ayrıca, hacker gruplarının yamanmamış, yani güvenlik önlemleri alınmamış şirket içi SharePoint sistemlerine saldırmaya devam edeceği hususunda uyardı.
ABD Siber Güvenlik ve Altyapı Güvenlik Ajansı da müşterilere, saldırı ile ilgili riskleri azaltmak için Antivirüs Tarama Arayüzü'nü (Antimalware Scan Interface) yapılandırmalarını önerdi. Ajans ayrıca, kullanıcılardan Microsoft Defender Antivirus'un etkinleştirilmesini istedi.
Öte yandan, saldırganların erişimi sürdürmek amacıyla ("kriptografik anahtarları çalmak") ASP.NET makine anahtarlarını hedef almış olabileceği belirtildi. Ajans, bu anahtarların döndürülmesini, yamanmadan önce ve sonra yapılmasını tavsiye etti.
Eye Security, saldırının hedef aldığı müşterilerine "etkilenen SharePoint sunucularını kapatmalarını", "ifşaya uğramış tüm kimlik bilgilerini ve sistem sırlarını değiştirmelerini" ve "bir olay müdahale ekibi veya güvenilir bir siber güvenlik firması ile iletişime geçmelerini" önerdi.

SALDIRIYI GERÇEKLEŞTİREN GRUPLAR

Microsoft, saldırının arkasında olduğu iddia edilen Linen Typhoon grubunun 2012'den bu yana "temelde hükümet, savunma, stratejik planlama ve insan haklarıyla ilgili kuruluşları hedef alarak fikri mülkiyet çalmaya odaklandığını" açıkladı.
Ayrıca, Violet Typhoon'un da 2015’ten bu yana "esas olarak ABD, Avrupa ve Doğu Asya'daki eski hükümet mensupları, askeri personel, sivil toplum kuruluşları, düşünce kuruluşları, yükseköğretim, dijital ve basılı medya, mali ve sağlık sektörlerini hedef alan casusluk faaliyetleri yürüttüğünü" kaydetti.
Üçüncü grup Storm-2603'ün Çin merkezli olduğuna dair kesin bir bilgi yok. Microsoft, bununla ilgili "orta düzeyde bir emninlikleri olduğunu" bildirdi, ancak iki grup arasında doğrudan bir bağlantı tespit edilemediği ifade edildi.
Ayrıca, güvenlik güncellemeleri yüklenmediği takdirde, "başka aktörlerin" de şirket içi SharePoint sistemlerini hedef alarak güvenlik açıklarından yararlanabileceği konusunda uyarıda bulundu.