Microsoft, SolarWinds hackleme kampanyasının arkasındaki devlet destekli Rus siber casusların, bu hafta ABD Uluslararası Kalkınma Ajansı’nın (USAid) bir e-posta pazarlama hesabını kullanarak ABD ve yabancı devlet kurumlarına ve thinktanks’e hedefli bir kimlik avı saldırısı başlattığını söyledi.
Microsoft başkan yardımcısı Tom Burt Perşembe günü bir blog yazısında, 150 farklı organizasyonda yaklaşık 3.000 e-posta hesabını hedefledi, bunların en az dörtte biri uluslararası kalkınma, insani yardım ve insan hakları çalışmalarında yer aldı. Microsoft, saldırının faillerini, 2020’de SolarWinds müşterilerine yönelik saldırıların da arkasında yer alan Rusya kökenli bir grup olan Nobelium olarak tanımladı. Burt, “Ulus-devlet siber saldırıları yavaşlamıyor” diye yazdı. “Siber uzayda ulus devlet davranışlarını düzenleyen açık kurallara ve bu kuralların ihlalinin sonuçlarına ilişkin net beklentilere ihtiyacımız var.”
Saldırıların haberi, ABD’nin Rus diplomatlarını sınır dışı etmesinden ve seçim müdahalesi ve siber casusluğu engellemek amacıyla Rus yetkililere ve şirketlere yaptırım uygulamasından sadece bir ay sonra geldi. ABD başkanı Joe Biden ve Rusya Devlet Başkanı Vladimir Putin arasında önümüzdeki ay yapılması planlanan zirveden önce gelmeside dikkatleri çekti.
Burt, şirketin müşterilerini hedef alan birçok saldırının otomatik olarak engellendiğini yazmasına rağmen, Microsoft girişimlerin hangi kısmının başarılı saldırılara yol açtığını söylemedi. Siber güvenlik firması Volexity bir gönderisinde, kimlik avı e-postalarının nispeten düşük tespit oranlarının, saldırganın “hedefleri aşmada bir miktar başarı elde ettiğini” gösterdiğini söyledi.
Burt, kampanyanın Rus bilgisayar korsanlarının “istihbarat toplama çabalarının bir parçası olarak dış politikada yer alan devlet kurumlarını hedefleme” çabalarının bir devamı gibi göründüğünü söyledi. Hedeflerin en az 24 ülkeye yayıldığını, ancak mağdurların en büyük payının ABD kuruluşlarının olduğunu söyledi. Microsoft, bilgisayar korsanlarının bir e-posta pazarlama hizmeti olan Constant Contact’ta USAid hesabına erişim sağladığını söyledi.
25 Mayıs tarihli gerçek görünümlü kimlik avı e-postaları, 2020 seçim dolandırıcılığı iddiaları hakkında yeni bilgiler içerdiğini ve bilgisayar korsanlarının “güvenliği ihlal edilmiş makinelere kalıcı erişim sağlamasına” olanak tanıyan kötü amaçlı yazılımın bağlantısını içerdiğini iddia ediyordu. Microsoft, kampanyanın ilk olarak Ocak ayında tespit ettiği ve bu hafta toplu postalara yükselen birkaç phishing kampanyasından geliştiğini söyledi. USAid sözcüsü Pooja Jhunjhunwala, ajansın “potansiyel olarak kötü niyetli e-posta faaliyetlerinden haberdar olduğunu” ve adli tıp soruşturmasının devam ettiğini söyledi.
GIPHY App Key not set. Please check settings