Teknoloji devi Microsoft, ortalarında devlet takviyeli bilgisayar korsanlarının da bulunduğu Çinli “tehdit aktörlerinin” SharePoint doküman paylaşım yazılımı sunucularındaki güvenlik açıklarından yararlandığını ve bu hizmeti kullanan işletmelerin bilgilerini maksat aldığını öne sürüyor.
ABD’li teknoloji şirketinin açıklamasına nazaran Çin devlet takviyeli Linen Typhoon ve Violet Typhoon ile tekrar Çin merkezli olduğu düşünülen Storm-2603 isimli üç küme, platformu barındıran internete bağlı sunucuları gaye almak için “yeni ortaya çıkan güvenlik açıklarını” kullandı.
Şirketin yayınladığı blog yazısında, bu güvenlik açıklarının şirketler tarafından yaygın kullanılan şirket içi SharePoint sunucularında bulunduğunu, lakin bulut tabanlı hizmetinde bulunmadığı belirtildi.
Birçok büyük kuruluş ve işletme, dokümanları depolamak ve iş arkadaşlarının bunlar üzerinde işbirliği yapmasını sağlamak için SharePoint’i kullanıyor. Bu hizmetin Office ve Outlook da dahil olmak üzere başka Microsoft eserleriyle yeterli çalıştığı düşünülüyor.
Microsoft, atakların 7 Temmuz’da başladığını bildirdi.
400 KURULUŞ MAKSAT OLDU
Güvenlik açığı, birinci olarak cuma günü Hollanda merkezli siber güvenlik firması Eye Security tarafından tespit edildi.
Microsoft, taarruzda sadece kuruluş bünyesinde barındırılan sunucuların tehlikeye atıldığını, Microsoft 365’teki SharePoint Online’ın etkilenmediğini vurguladı.
Eye Security, bilgisayar korsanlarının Sharepoint sistemlerine girdikten sonra, bu sistemlerdeki tüm içeriğe erişebilecekleri konusunda uyardı.
Siber güvenlik firması, “SharePoint çoklukla Outlook, Teams ve OneDrive üzere temel hizmetlere bağlandığından, bir ihlal süratle bilgi hırsızlığına, parola ele geçirmeye ve ağ genelinde yatay hareketlere yol açabilir” açıklamasında bulundu.
“Bu, süratle gelişen, maksatlı bir akındır. Yama uygulanmamış SharePoint sunucularına sahip kuruluşlar düzeltme beklememeli. Çabucak bir güvenlik açığı değerlendirmesi yapmalı ve uygun biçimde cevap vermeli.”
Bahsi geçen güvenlik açıkları, saldırganların kimlik doğrulama bilgilerini taklit ederek sunucularda uzaktan berbat maksatlı kod çalıştırmalarına imkan tanıyor. Microsoft, saldırganların bir SharePoint sunucusuna “anahtar malzemenin çalınmasını sağlayan” bir istek gönderdiği hücumlar gözlemledi.
Eye Security’nin baş bilgisayar korsanı Vaisha Bernard, Reuters’a yaptığı açıklamada, hafta sonu gerçekleşen taarruzdan yaklaşık 100 kuruluşun etkilendiğini söylemişti. Yeni güncellemeye nazaran bu sayı 400’e çıktı.
SALDIRIDAN NASIL KORUNMALI?
Microsoft, SharePoint kullanan müşterilerine en son güvenlik güncellemelerini uygulamalarını ve Antimalware Tarama Arayüzü’nün faal ve gerçek formda çalıştığından emin olmalarını tavsiye etti.
Teknoloji devi, mevzuyla ilgili güvenlik güncellemelerini yayınladığını ve şirket içi SharePoint sistemlerini kullanan herkesin bunları yüklemesi gerektiğini belirtiyor. Ayrıyeten, hacker kümelerinin yama uygulanmamış, yani tedbir alınmamış şirket içi SharePoint sistemlerine saldırmaya devam edeceği ihtarında bulundu.
ABD Siber Güvenlik ve Altyapı Güvenlik Ajansı da müşterilerin hücumla bağlantılı riskleri azaltmak için Antivirüs Tarama Arayüzü’nü (Antimalware Scan Interface) yapılandırmasını önerdi. Ajans ayrıyeten, kullanıcılardan Microsoft Defender Antivirus programını etkinleştirmelerini de istedi.
Bunun yanı sıra saldırganların, erişimi sürdürmek (“kriptografik anahtarları çalmak”) için ASP.NET makine anahtarlarını maksat aldığı belirtildi. Ajans, yama uygulamadan evvel ve sonra bu anahtarların döndürülmesini öneriyor.
Eye Security ise taarruzun gayesi olduğunu fark eden müşterilere “etkilenen SharePoint sunucularını kapatmalarını”, “ifşa olmuş olabilecek tüm kimlik bilgilerini ve sistem sırlarını değiştirmelerini” ve “olay müdahale grubuyla yahut muteber bir siber güvenlik firmasıyla irtibata geçmelerini” salık veriyor.
SALDIRININ GERİSİNDEKİ GRUPLAR
Microsoft, taarruzun ardında olduğu tez edilen Linen Typhoon kümesinin 2012’den bu yana “öncelikle hükümet, savunma, stratejik planlama ve insan haklarıyla ilgili kuruluşları maksat alarak fikri mülkiyeti çalmaya odaklandığını” söyledi.
Açıklamada, Violet Typhoon’un da 2015’ten bu yana “esas olarak ABD, Avrupa ve Doğu Asya’daki eski hükümet ve askeri işçi, sivil toplum kuruluşları, niyet kuruluşları, yükseköğretim, dijital ve basılı medya, finans ve sıhhat dallarını gaye alan casusluk faaliyetleri yürüttüğü” belirtildi.
Üçüncü küme Storm-2603’ün Çin merkezli olduğuna dairse kesin bir bilgi yok. Teknoloji devi bundan “orta seviyede emin olduklarını”, lakin ancak küme ile öbür Çinli aktörler ortasında temas tespit etmediğini bildirdi.
Ayrıca güvenlik güncellemeleri yüklenmemişse, “başka aktörlerin” de şirket içi SharePoint sistemlerini maksat alarak güvenlik açıklarından yararlanabileceği konusunda uyardı.
