Teknoloji devi Microsoft, ortalarında devlet dayanaklı bilgisayar korsanlarının da bulunduğu Çinli “tehdit aktörlerinin” SharePoint evrak paylaşım yazılımı sunucularındaki güvenlik açıklarından yararlandığını ve bu hizmeti kullanan işletmelerin bilgilerini maksat aldığını öne sürüyor.
ABD’li teknoloji şirketinin açıklamasına nazaran Çin devlet takviyeli Linen Typhoon ve Violet Typhoon ile yeniden Çin merkezli olduğu düşünülen Storm-2603 isimli üç küme, platformu barındıran internete bağlı sunucuları maksat almak için “yeni ortaya çıkan güvenlik açıklarını” kullandı.
Şirketin yayınladığı blog yazısında, bu güvenlik açıklarının şirketler tarafından yaygın kullanılan şirket içi SharePoint sunucularında bulunduğunu, fakat bulut tabanlı hizmetinde bulunmadığı belirtildi.
Birçok büyük kuruluş ve işletme, dokümanları depolamak ve iş arkadaşlarının bunlar üzerinde işbirliği yapmasını sağlamak için SharePoint’i kullanıyor. Bu hizmetin Office ve Outlook da dahil olmak üzere öbür Microsoft eserleriyle yeterli çalıştığı düşünülüyor.
Microsoft, atakların 7 Temmuz’da başladığını bildirdi.
400 KURULUŞ MAKSAT OLDU
Güvenlik açığı, birinci olarak cuma günü Hollanda merkezli siber güvenlik firması Eye Security tarafından tespit edildi.
Microsoft, taarruzda sadece kuruluş bünyesinde barındırılan sunucuların tehlikeye atıldığını, Microsoft 365’teki SharePoint Online’ın etkilenmediğini vurguladı.
Eye Security, bilgisayar korsanlarının Sharepoint sistemlerine girdikten sonra, bu sistemlerdeki tüm içeriğe erişebilecekleri konusunda uyardı.
Siber güvenlik firması, “SharePoint ekseriyetle Outlook, Teams ve OneDrive üzere temel hizmetlere bağlandığından, bir ihlal süratle data hırsızlığına, parola ele geçirmeye ve ağ genelinde yatay hareketlere yol açabilir” açıklamasında bulundu.
“Bu, süratle gelişen, amaçlı bir taarruzdur. Yama uygulanmamış SharePoint sunucularına sahip kuruluşlar düzeltme beklememeli. Çabucak bir güvenlik açığı değerlendirmesi yapmalı ve uygun biçimde karşılık vermeli.”
Bahsi geçen güvenlik açıkları, saldırganların kimlik doğrulama bilgilerini taklit ederek sunucularda uzaktan berbat emelli kod çalıştırmalarına imkan tanıyor. Microsoft, saldırganların bir SharePoint sunucusuna “anahtar malzemenin çalınmasını sağlayan” bir istek gönderdiği taarruzlar gözlemledi.
Eye Security’nin baş bilgisayar korsanı Vaisha Bernard, Reuters’a yaptığı açıklamada, hafta sonu gerçekleşen hücumdan yaklaşık 100 kuruluşun etkilendiğini söylemişti. Yeni güncellemeye nazaran bu sayı 400’e çıktı.
SALDIRIDAN NASIL KORUNMALI?
Microsoft, SharePoint kullanan müşterilerine en son güvenlik güncellemelerini uygulamalarını ve Antimalware Tarama Arayüzü’nün faal ve yanlışsız biçimde çalıştığından emin olmalarını tavsiye etti.
Teknoloji devi, mevzuyla ilgili güvenlik güncellemelerini yayınladığını ve şirket içi SharePoint sistemlerini kullanan herkesin bunları yüklemesi gerektiğini belirtiyor. Ayrıyeten, hacker kümelerinin yama uygulanmamış, yani tedbir alınmamış şirket içi SharePoint sistemlerine saldırmaya devam edeceği ikazında bulundu.
ABD Siber Güvenlik ve Altyapı Güvenlik Ajansı da müşterilerin taarruzla bağlı riskleri azaltmak için Antivirüs Tarama Arayüzü’nü (Antimalware Scan Interface) yapılandırmasını önerdi. Ajans ayrıyeten, kullanıcılardan Microsoft Defender Antivirus programını etkinleştirmelerini de istedi.
Bunun yanı sıra saldırganların, erişimi sürdürmek (“kriptografik anahtarları çalmak”) için ASP.NET makine anahtarlarını maksat aldığı belirtildi. Ajans, yama uygulamadan evvel ve sonra bu anahtarların döndürülmesini öneriyor.
Eye Security ise atağın amacı olduğunu fark eden müşterilere “etkilenen SharePoint sunucularını kapatmalarını”, “ifşa olmuş olabilecek tüm kimlik bilgilerini ve sistem sırlarını değiştirmelerini” ve “olay müdahale takımıyla yahut muteber bir siber güvenlik firmasıyla bağlantıya geçmelerini” salık veriyor.
SALDIRININ ARDINDAKİ GRUPLAR
Microsoft, hücumun ardında olduğu argüman edilen Linen Typhoon kümesinin 2012’den bu yana “öncelikle hükümet, savunma, stratejik planlama ve insan haklarıyla ilgili kuruluşları maksat alarak fikri mülkiyeti çalmaya odaklandığını” söyledi.
Açıklamada, Violet Typhoon’un da 2015’ten bu yana “esas olarak ABD, Avrupa ve Doğu Asya’daki eski hükümet ve askeri işçi, sivil toplum kuruluşları, niyet kuruluşları, yükseköğretim, dijital ve basılı medya, finans ve sıhhat bölümlerini amaç alan casusluk faaliyetleri yürüttüğü” belirtildi.
Üçüncü küme Storm-2603’ün Çin merkezli olduğuna dairse kesin bir bilgi yok. Teknoloji devi bundan “orta seviyede emin olduklarını”, fakat ancak küme ile başka Çinli aktörler ortasında temas tespit etmediğini bildirdi.
Ayrıca güvenlik güncellemeleri yüklenmemişse, “başka aktörlerin” de şirket içi SharePoint sistemlerini amaç alarak güvenlik açıklarından yararlanabileceği konusunda uyardı.
