Microsoft, Rus hacklerların kodu değiştirememelerine veya ürünlerine ve e-postalarına girememelerine rağmen, şirketin daha önce anladığından daha fazla veriye erişim elde ettiklerini bildirdi.
Microsoft Perşembe günü yaptığı açıklamada, Rusya’nın ABD devlet kurumları ve özel şirketlere yönelik geniş kapsamlı saldırısının, şirketin daha önce tespit ettiğinden daha fazla ağa sızdığını söyledi.
Şirket, Rusya’nın SVR istihbarat teşkilatı için çalıştığından şüphelenilen bilgisayar korsanlarının her ne kadar diğer kurbanlara saldırmak için Microsoft’un sistemlerini kullanıyor gibi görünmeseler de Microsoft kaynak kodunu bir çalışan hesabı üzerinden görüntüleyebildiklerini söyledi.
Microsoft, bilgisayar korsanlarının e-postalara veya ürünlerine ve hizmetlerine giremediklerini ve görüntüledikleri kaynak kodunu değiştiremediklerini söyledi. Şirket, bilgisayar korsanlarının ağlarında ne kadar süre kaldığını veya hangi ürünlerin kaynak kodunun görüntülendiğini söylemedi. Microsoft başlangıçta sistemlerine sızılmadığını söylemişti.
Şirket bir blog gönderisinde “Kendi çevremizle ilgili araştırmamız, üretim hizmetlerine veya müşteri verilerine erişime dair hiçbir kanıt bulamadı” dedi ve ekledi: “Devam eden soruşturma, sistemlerimizin başkalarına saldırmak için kullanıldığına dair hiçbir belirti de bulamadı.”
New York Times’ın haberine göre devam etmekte olan hack, Ekim 2019’da başlamış gibi görünüyor. Bu, hackerların devlet kurumlarına ve Fortune 500 şirketlerinin 425’ine teknoloji izleme hizmetleri sağlayan Texas şirketi SolarWinds’i hacklediği zamandı. Güvenliği ihlal edilen yazılım daha sonra Ticaret, Hazine, Eyalet ve Enerji Departmanlarının yanı sıra geçen ay ihlali ilk kez ortaya çıkaran en iyi siber güvenlik firması FireEye ile birlikte de kullanıldı.
Müfettişler, bilgisayar korsanlarının ne çaldığını hala anlamaya çalışıyor ve aktif araştırmalar, saldırının başlangıçta inanılandan daha yaygın olduğunu gösteriyor. Geçtiğimiz hafta bir FireEye rakibi olan CrowdStrike, aynı saldırganlar tarafından başarısızlıkla hedef alındığını duyurdu. Bu durumda bilgisayar korsanları sistemlerine erişim sağlamaya çalışmak için Microsoft adına yazılım satan şirketler olan Microsoft satıcılarını kullandı.
İç Güvenlik Bakanlığı, SolarWinds’in Rusların Amerikan kurumlarına, teknoloji ve siber güvenlik şirketlerine saldırmak için kullandıkları birkaç yoldan yalnızca biri olduğunu doğruladı.
Trump Çin’i Suçladı
Başkan Trump, kamuoyuna saldırının arkasında Rusya’nın değil, Çin’in olabileceğini açıkladı – bu, Dışişleri Bakanı Mike Pompeo ve yönetimin diğer üst düzey üyeleri tarafından tartışılan bir bulgu. Trump, saldırıyı özelde bir “aldatmaca” olarak nitelendirdi.
Başkan seçilen Joe Biden, Trump’ı hack’i küçümsemekle suçladı ve yönetiminin, federal kurumların iş yapmak için güvendiği yazılım ve ağlara güvenemeyeceğini söyledi. Biden’ın genelkurmay başkanı Ron Klain, yönetimin yaptırımların ötesine geçen bir yanıt planladığını belirtti.
Klain geçen hafta CBS’ye “Sorumlu olanlar bunun sonuçlarıyla karşılaşacak” dedi. “Sadece yaptırımlar değil. Bu aynı zamanda, yabancı aktörlerin bu tür saldırıları tekrarlama veya daha da kötüsü daha da tehlikeli saldırılara girişme kapasitesini düşürmek için yapabileceğimiz adımlar ve şeyler.”
Saldırının Boyutları Artıyor
Güvenlik uzmanları, saldırının kapsamının henüz tam olarak bilinemediğini söyledi. SolarWinds, güvenliği ihlal edilen yazılımının 18.000 müşterilerinin ağına girdiğini söyledi. SolarWinds, Microsoft ve FireEye, gerçek kurban sayısının düzinelerce ile sınırlı olabileceğine inandıklarını söylerken, devam eden araştırmalar bu sayının çok daha büyük olabileceğini gösteriyor.
CrowdStrike’ın eski baş teknoloji sorumlusu Dmitri Alperovitch, “Bu hack bugün fark ettiğimizden çok daha kötü ve daha etkili” dedi. “Önümüzdeki aylarda daha fazla olayın gün yüzüne çıkmasına kendimizi hazırlamalıyız.”
Amerikalı yetkililer, saldırının Ulusal Güvenlik Teşkilatı’nın yabancı ağlara yaptıklarına benzer şekilde geleneksel casusluk mu olduğunu ya da gelecekteki saldırılar için Rusların devlet kurumları, büyük şirketler, elektrik şebekeleri ve ABD’deki nükleer silah laboratuvarlarına arka kapılar mı yerleştirdiğini hâlâ anlamaya çalışıyorlar.
Yetkililer, saldırının gizli olmayan sistemlerde durmuş olduğuna inanıyor, ancak bilgisayar korsanlarının almış olabileceği hassas olmayan veriler konusunda endişeleniyor.
Kaynak Koduna Erişim
Microsoft Perşembe günü yaptığı açıklamada, araştırmasının az sayıda çalışan hesabından olağandışı bir etkinlik tespit ettiğini söyledi. Ardından, “bir dizi kaynak kodu havuzunu” görüntülemek için bir tanesinin kullanıldığını belirledi.
Şirket blog gönderisinde, “Hesabın herhangi bir kodu veya mühendislik sistemini değiştirme izni yoktu ve araştırmamız hiçbir değişiklik yapılmadığını doğruladı” dedi.
Microsoft, birçok teknoloji şirketinden farklı olarak, ürünlerinin güvenliği için kaynak kodunun gizliliğine güvenmemekte. Çalışanlar kaynak kodunu kolayca görüntüleyebilir ve risk modelleri, saldırganların ona erişmeye hazır olduğunu varsayar, bu da ihlalin neden olduğu sonuçların sınırlı olabileceğini düşündürür.
Bazı hükümet yetkilileri, özel bir şirket için küresel siber faaliyete açılan belki de en büyük pencereye sahip olan Microsoft’un bu saldırıyı daha önce tespit edip hükümeti uyarmamasından dolayı hayal kırıklığına uğradılar. Federal kurumlar ve istihbarat servisleri SolarWinds ihlalini FireEye’dan öğrendi.
Microsoft’un başkanı Brad Smith, saldırının hükümetin tehdit istihbaratı bulgularını ajanslar ve özel sektör arasında paylaşmamasın sonucu olduğunu söyledi. Aralık röportajında, hack’i bir “hesaplaşma anı” olarak nitelendirdi.
Smith, “Hükümetimiz buna nasıl tepki verecek?” diye sordu. “Ulus 11 Eylül’den çıkarılan dersleri gözden kaçırmış gibi hissettiriyor. Korkunç bir şey olduktan yirmi yıl sonra, insanlar başarılı olmak için ne yapmaları gerektiğini unutuyorlar. “
