Ruslar Microsoft Teams üzerinden kimlik avı saldırısı düzenliyor

Microsoft, onlarca Teams kimlik avı saldırısının arkasında Rusya bağlantılı bilgisayar korsanlarının olduğunu açıkladı.

Microsoft araştırmacıları Çarşamba günü yaptıkları açıklamada, Rus hükümeti ile bağlantılı bir bilgisayar korsanlığı grubunun, kullanıcıları teknik destekten geliyormuş gibi davranarak Microsoft Teams sohbetlerine dahil ederek oturum açma kimlik bilgilerini çalmaya yönelik bir kampanya ile düzinelerce küresel kuruluşu hedef aldığını söyledi.

Microsoft araştırmacıları bir blogda yaptıkları açıklamada, bu "yüksek hedefli" sosyal mühendislik saldırılarının Mayıs ayının sonlarından bu yana "40'tan az sayıda benzersiz küresel kuruluşu" etkilediğini ve şirketin soruşturma yürüttüğünü belirtti.

Washington'daki Rus Büyükelçiliği yorum talebine hemen yanıt vermedi.

Araştırmacılar, bilgisayar korsanlarının teknik destek gibi görünen alan adları ve hesaplar oluşturduklarını ve Teams kullanıcılarıyla sohbet ederek çok faktörlü kimlik doğrulama (MFA) istemlerini onaylamalarını sağlamaya çalıştıklarını söyledi.

Araştırmacılar "Microsoft, aktörün etki alanlarını kullanmasını engelledi ve bu faaliyeti araştırmaya ve saldırının etkisini düzeltmek için çalışmaya devam ediyor" diye ekledi.

Teams, şirketin Ocak ayı mali açıklamasına göre 280 milyondan fazla aktif kullanıcısı olan Microsoft'un tescilli iş iletişim platformu.

MFA'lar, kimlik bilgilerinin hacklenmesini veya çalınmasını önlemeyi amaçlayan yaygın olarak önerilen bir güvenlik önlemidir. Teams'in hedef alması, bilgisayar korsanlarının bunu aşmak için yeni yollar bulduğunu gösteriyor.

Araştırmacılar, sektörde Midnight Blizzard veya APT29 olarak bilinen bu faaliyetin arkasındaki hack grubunun Rusya merkezli olduğunu ve İngiltere ve ABD hükümetlerinin bu grubu ülkenin dış istihbarat servisiyle ilişkilendirdiğini söyledi.

"Bu faaliyette hedef alınan kuruluşlar muhtemelen Midnight Blizzard'ın hükümet, sivil toplum kuruluşları (STK'lar), BT hizmetleri, teknoloji, ayrık üretim ve medya sektörlerine yönelik özel casusluk hedeflerine işaret ediyor" diyen yetkililer, hedeflerden herhangi birinin adını vermedi.

Araştırmacılar, "Bu son saldırı, geçmişteki faaliyetlerle birleştiğinde, Midnight Blizzard'ın hem yeni hem de yaygın teknikleri kullanarak hedeflerini gerçekleştirmeye devam ettiğini gösteriyor" diye yazdı.

Midnight Blizzard'ın özellikle ABD ve Avrupa'da 2018'e kadar bu tür kuruluşları hedef aldığının bilindiğini de eklediler.

Microsoft blogunda yer alan ayrıntılara göre, bilgisayar korsanları küçük işletmelere ait ve zaten ele geçirilmiş Microsoft 365 hesaplarını kullanarak teknik destek kuruluşu gibi görünen ve içinde "microsoft" kelimesi geçen yeni alan adları oluşturdu. Araştırmacılar, bu alan adlarına bağlı hesapların daha sonra Teams aracılığıyla insanları yemlemek için kimlik avı mesajları gönderdiğini söyledi.