Microsoft araştırmacıları Çarşamba günü yaptıkları açıklamada, Rus hükümeti ile irtibatlı bir bilgisayar korsanlığı kümesinin, kullanıcıları teknik takviyeden geliyormuş üzere davranarak Microsoft Teams sohbetlerine dahil ederek oturum açma kimlik bilgilerini çalmaya yönelik bir kampanya ile düzinelerce global kuruluşu maksat aldığını söyledi.
Microsoft araştırmacıları bir blogda yaptıkları açıklamada, bu “yüksek hedefli” toplumsal mühendislik akınlarının Mayıs ayının sonlarından bu yana “40’tan az sayıda eşsiz global kuruluşu” etkilediğini ve şirketin soruşturma yürüttüğünü belirtti.
WASHİNGTON RUS BÜYÜKELÇİLİĞİ YORUM YAPMADI
Araştırmacılar, bilgisayar korsanlarının teknik takviye üzere görünen alan isimleri ve hesaplar oluşturduklarını ve Teams kullanıcılarıyla sohbet ederek çok faktörlü kimlik doğrulama (MFA) istemlerini onaylamalarını sağlamaya çalıştıklarını söyledi.
Reuters’in aktardığı bilgilere nazaran, olayın akabinde Washington’daki Rus Büyükelçiliği’nden yanıt gelmediği belirtildi.
Teams, şirketin Ocak ayı mali açıklamasına nazaran 280 milyondan fazla faal kullanıcısı olan Microsoft’un tescilli iş irtibat platformudur.
Araştırmacılar, dalda Midnight Blizzard yahut APT29 olarak bilinen bu faaliyetin ardındaki hack kümesinin Rusya merkezli olduğunu ve İngiltere ve ABD hükümetlerinin bu kümesi ülkenin dış istihbarat servisiyle ilişkilendirdiğini söyledi.
Araştırmacılar, “Bu son atak, geçmişteki faaliyetlerle birleştiğinde, Midnight Blizzard’ın hem yeni hem de yaygın teknikleri kullanarak amaçlarını gerçekleştirmeye devam ettiğini gösteriyor” diye yazdı.
ABD VE AVRUPA RUS HACKERLARIN HEDEFİNDE
Midnight Blizzard’ın bilhassa ABD ve Avrupa’da 2018’e kadar bu tıp kuruluşları amaç aldığının bilindiğini de eklediler.
Microsoft blogunda yer alan detaylara nazaran, bilgisayar korsanları küçük işletmelere ilişkin halihazırda ele geçirilmiş Microsoft 365 hesaplarını kullanarak teknik dayanak kuruluşu üzere görünen ve içinde “microsoft” sözü geçen yeni alan isimleri oluşturdu.
Araştırmacılar, bu alan isimlerine bağlı hesapların daha sonra Teams aracılığıyla insanları yemlemek için kimlik avı bildirileri gönderdiğini söyledi.
