Microsoft'un sunucularına siber saldırı: Aralarında devlet kurumlarının da olduğu 100 kuruluşun ağına sızıldı

Microsoft, Cumartesi günü, kurumlar arasında belge paylaşımı ve iş birliği için yaygın şekilde kullanılan kendi sunucularında barındırılan SharePoint yazılımı üzerinde “aktif saldırılar” olduğuna dair bir uyarı yayımladı. Microsoft sunucuları üzerinden çalışan SharePoint örnekleri bu saldırılardan etkilenmedi.

Daha önce açıklanmamış bir dijital zayıflığı kullandığı için “sıfır gün” (zero-day) olarak adlandırılan bu saldırılar, casusların savunmasız sunuculara sızmasına ve potansiyel olarak uzun süreli erişim için bir arka kapı bırakmasına olanak tanıyor.

Hollanda merkezli siber güvenlik firması Eye Security’den Vaisha Bernard, Cuma günü müşterilerinden birini hedef alan bu saldırı kampanyasını keşfettiklerini ve Shadowserver Foundation ile yapılan bir internet taramasının toplamda neredeyse 100 kurban ortaya çıkardığını söyledi. Üstelik bu sayı, saldırı tekniğinin yaygın şekilde bilinmesinden önceki durumu yansıtıyor.

Bernard, “Bu durum çok net. Diğer tehdit aktörlerinin o zamandan beri başka arka kapılar yerleştirip yerleştirmediğini kim bilebilir” dedi.

Bernard hangi kuruluşların bu saldırılardan etkilendiğini belirtmekten kaçındı, ancak ilgili ulusal makamlara bilgi verildiğini söyledi.

Shadowserver Foundation da 100 kurban bilgisini doğruladı ve etkilenenlerin çoğunun Amerika Birleşik Devletleri ve Almanya’da olduğunu, bunlar arasında devlet kurumlarının da yer aldığını bildirdi.

Saldırının ardında bir hacker grubu olabilir

Bir diğer araştırmacı olan Sophos’un Tehdit İstihbaratı Direktörü Rafe Pilling ise şimdiye kadar saldırının tek bir hacker ya da hacker grubunun işi gibi göründüğünü söyledi ve sözlerini şöyle sürdürdü: “Bu durumun hızla değişmesi mümkün”.

Microsoft yaptığı yazılı açıklamada, “Güvenlik güncellemeleri sunduk ve müşterilerimizi bunları yüklemeye teşvik ediyoruz” ifadelerine yer verildi.

Devam eden saldırının arkasında kimin olduğu belli değil. FBI, Pazar günü saldırılardan haberdar olduklarını ve federal ve özel sektör ortaklarıyla yakın çalıştıklarını ancak başka detay paylaşamayacaklarını bildirdi. İngiltere Ulusal Siber Güvenlik Merkezi, Birleşik Krallık’ta “sınırlı sayıda” hedefin olduğunu açıkladı. Kampanyayı izleyen bir araştırmacı, saldırıların başlangıçta dar bir devlet bağlantılı kuruluş grubunu hedef aldığını belirtti.

8 bin sunucu ele geçirilmiş olabilir

Olası hedef havuzu ise oldukça geniş. İnternete bağlı cihazları tespit etmeye yarayan arama motoru Shodan’a göre çevrim içi 8 binden fazla sunucu teorik olarak halihazırda hackerlar tarafından ele geçirilmiş olabilir.

Bu sunucular arasında büyük sanayi şirketleri, bankalar, denetim firmaları, sağlık kuruluşları ve bazı ABD eyalet düzeyinde uluslararası kamu kurumları bulunuyor.

İngiliz siber güvenlik danışmanlık firması PwnDefend’den Daniel Card, “SharePoint olayı küresel çapta çok sayıda sunucuyu kapsayan geniş çaplı bir sızma yarattı gibi görünüyor” dedi ve ekledi: “Bu konuda ihlal edilmiş varsayımıyla hareket etmek akıllıca olur, ayrıca sadece yamanın uygulanmasının yeterli olmadığını da anlamak önemli”

Microsoft son dönemde bir dizi siber saldırıyla karşı karşıya kalmış, Mart ayında Çinli bilgisayar korsanlarının ABD'de ve yurtdışında bir dizi şirket ve kuruluşu gözetlemek amacıyla uzaktan yönetim araçlarını ve bulut uygulamalarını hedef aldığı uyarısında bulunmuştu.

Büyük siber saldırıları incelemek üzere Beyaz Saray tarafından görevlendirilen bir grup olan Siber Güvenlik İnceleme Kurulu, geçen yıl şirketin Exchange Online posta kutularının 2023 yılında hacklenmesinin ardından Microsoft'un güvenlik kültürünün “yetersiz” olduğunu söyledi.

Bu olayda bilgisayar korsanları 22 kuruluşa ve aralarında eski ABD Ticaret Bakanı Gina Raimondo'nun da bulunduğu yüzlerce kişiye ulaşmayı başarmıştı.