SolarWinds saldırısının arkasındaki tehdit aktörleri, Microsoft'un kurumsal e-posta hesaplarına erişti

Microsoft tarafından geçen hafta Cuma günü yapılan açıklamada, şirketin kurumsal sistemlerine yönelik ulus-devlet destekli tehdit aktörleri tarafından yapılan bir saldırının 12 Ocak’ta keşfedildiğini duyurdu. Araştırmacılar tarafından Midnight Blizzard, BlueBravo, Cozy Bear, Nobelium ve APT29 gibi farklı isimlerle bilinen bu tehdit aktörünün Rus Dış İstihbarat Servisi SVR’ye bağlı olarak çalıştığı güçlü bir şekilde düşünülüyor.

Şirket tarafından verilen bilgilere göre saldırı ilk olarak Kasım 2023’ün sonlarında gerçekleşmiş ve “password spraying” yöntemi kullanılarak şirketin kurumsal e-posta hesaplarının çok küçük bir yüzdesi ele geçirilmeye çalışılmış. Tehdit aktörleri bu yöntemlerinde başarılı olmuşlar ve şirketin bazı lider pozisyonlarındakiler de dahil olmak üzere birkaç farklı departmanda çalışan bazı kişilerin e-posta hesaplarına sızmayı başarmışlar.

Microsoft, gerçekleşen bu saldırıyı Cuma günü ABD Menkul Kıymetler ve Borsa Komisyonu(SEC)’na bildirmiş. SEC bildirisinde, tehdit aktörleri tarafından erişilen e-posta hesaplarına olan erişimlerin 13 Ocak 2024 veya buna yakın bir tarihte kaldırıldığı belirtilmiş. Bununla birlikte gerçekleşen bu saldırının şirketin mali durumunu veya faaliyet sonuçlarını maddi olarak etkileme ihtimalinin henüz belirlenemediği belirtiliyor. Soruşturmanın devam ettiği ve kolluk kuvvetleriyle birlikte çalışıldığı belirtildi.

Birkaç farklı isimle anılan bu tehdit aktörü, 2020 yılında teknoloji şirketi SolarWinds’e düzenlediği saldırıyla tanınıyor. Bu saldırıyla birlikte tehdit aktörü, kendisinden hizmet alan ABD Savunma Bakanlığı, Adalet Bakanlığı, Ticaret Bakanlığı, Hazine Bakanlığı, Dışişleri Bakanlığı ve diğer hükümet kurumlarının yanı sıra birçok büyük şirkete de erişim sağlamışlardı.