Microsoft araştırmacıları Çarşamba günü yaptıkları açıklamada, Rus hükümeti ile temaslı bir bilgisayar korsanlığı kümesinin, kullanıcıları teknik takviyeden geliyormuş üzere davranarak Microsoft Teams sohbetlerine dahil ederek oturum açma kimlik bilgilerini çalmaya yönelik bir kampanya ile düzinelerce global kuruluşu amaç aldığını söyledi.
Microsoft araştırmacıları bir blogda yaptıkları açıklamada, bu “yüksek hedefli” toplumsal mühendislik hücumlarının Mayıs ayının sonlarından bu yana “40’tan az sayıda eşsiz global kuruluşu” etkilediğini ve şirketin soruşturma yürüttüğünü belirtti.
WASHİNGTON RUS BÜYÜKELÇİLİĞİ YORUM YAPMADI
Araştırmacılar, bilgisayar korsanlarının teknik takviye üzere görünen alan isimleri ve hesaplar oluşturduklarını ve Teams kullanıcılarıyla sohbet ederek çok faktörlü kimlik doğrulama (MFA) istemlerini onaylamalarını sağlamaya çalıştıklarını söyledi.
Reuters’in aktardığı bilgilere nazaran, olayın akabinde Washington’daki Rus Büyükelçiliği’nden karşılık gelmediği belirtildi.
Teams, şirketin Ocak ayı mali açıklamasına nazaran 280 milyondan fazla etkin kullanıcısı olan Microsoft’un tescilli iş irtibat platformudur.
Araştırmacılar, dalda Midnight Blizzard yahut APT29 olarak bilinen bu faaliyetin gerisindeki hack kümesinin Rusya merkezli olduğunu ve İngiltere ve ABD hükümetlerinin bu kümesi ülkenin dış istihbarat servisiyle ilişkilendirdiğini söyledi.
Araştırmacılar, “Bu son akın, geçmişteki faaliyetlerle birleştiğinde, Midnight Blizzard’ın hem yeni hem de yaygın teknikleri kullanarak maksatlarını gerçekleştirmeye devam ettiğini gösteriyor” diye yazdı.
ABD VE AVRUPA RUS HACKERLARIN HEDEFİNDE
Midnight Blizzard’ın bilhassa ABD ve Avrupa’da 2018’e kadar bu tıp kuruluşları gaye aldığının bilindiğini de eklediler.
Microsoft blogunda yer alan detaylara nazaran, bilgisayar korsanları küçük işletmelere ilişkin halihazırda ele geçirilmiş Microsoft 365 hesaplarını kullanarak teknik dayanak kuruluşu üzere görünen ve içinde “microsoft” sözü geçen yeni alan isimleri oluşturdu.
Araştırmacılar, bu alan isimlerine bağlı hesapların daha sonra Teams aracılığıyla insanları yemlemek için kimlik avı iletileri gönderdiğini söyledi.
