Microsoft, Çinli Tehdit Aktörlerinin SharePoint Sunucularını Hedef Aldığını İddia Ediyor
Teknoloji devi Microsoft, aralarında devlet destekli bilgisayar korsanlarının da bulunduğu Çinli “tehdit aktörlerinin” SharePoint belge paylaşım yazılımı sunucularındaki güvenlik açıklarından yararlandığını ve bu hizmeti kullanan işletmelerin verilerini hedef aldığını iddia ediyor.
ABD’li teknoloji şirketinin açıklamasına göre Çin devlet destekli Linen Typhoon ve Violet Typhoon ile yine Çin merkezli olduğu düşünülen Storm-2603 adlı üç grup, platformu barındıran internete bağlı sunucuları hedef almak için “yeni ortaya çıkan güvenlik açıklarını” kullandı.
Şirketin yayınladığı blog yazısında, bu güvenlik açıklarının şirketler tarafından yaygın kullanılan şirket içi SharePoint sunucularında bulunduğunu, ancak bulut tabanlı hizmetinde bulunmadığı belirtildi.
Birçok büyük kuruluş ve işletme, belgeleri depolamak ve iş arkadaşlarının bunlar üzerinde işbirliği yapmasını sağlamak için SharePoint’i kullanıyor. Bu hizmetin Office ve Outlook da dahil olmak üzere diğer Microsoft ürünleriyle iyi çalıştığı düşünülüyor.
Microsoft, saldırıların 7 Temmuz’da başladığını bildirdi.
400 Kuruluş Hedef Oldu
Güvenlik açığı, ilk olarak cuma günü Hollanda merkezli siber güvenlik firması Eye Security tarafından tespit edildi.
Microsoft, saldırıda yalnızca kuruluş bünyesinde barındırılan sunucuların tehlikeye atıldığını, Microsoft 365’teki SharePoint Online’ın etkilenmediğini vurguladı.
Eye Security, bilgisayar korsanlarının SharePoint sistemlerine girdikten sonra, bu sistemlerdeki tüm içeriğe erişebilecekleri konusunda uyardı.
Siber güvenlik firması, “SharePoint genellikle Outlook, Teams ve OneDrive gibi temel hizmetlere bağlandığından, bir ihlal hızla veri hırsızlığına, parola ele geçirmeye ve ağ genelinde yatay hareketlere yol açabilir” açıklamasında bulundu.
“Bu, hızla gelişen, hedefli bir saldırıdır. Yama uygulanmamış SharePoint sunucularına sahip kuruluşlar düzeltme beklememeli. Hemen bir güvenlik açığı değerlendirmesi yapmalı ve uygun şekilde yanıt vermeli.”
Saldırıdan Nasıl Korunmalı?
Microsoft, SharePoint kullanan müşterilere en son güvenlik güncellemelerini uygulamalarını ve Antimalware Tarama Arayüzü’nün etkin ve doğru şekilde çalıştığından emin olmalarını tavsiye etti.
Teknoloji devi, konuyla ilgili güvenlik güncellemelerini yayınladığını ve şirket içi SharePoint sistemlerini kullanan herkesin bunları yüklemesi gerektiğini belirtiyor. Ayrıca, hacker gruplarının yama uygulanmamış, yani önlem alınmamış şirket içi SharePoint sistemlerine saldırmaya devam edeceği uyarısında bulundu.
ABD Siber Güvenlik ve Altyapı Güvenlik Ajansı da müşterilerin saldırıyla ilişkili riskleri azaltmak için Antivirüs Tarama Arayüzünü yapılandırmasını önerdi. Ajans ayrıca, kullanıcılardan Microsoft Defender Antivirus programını etkinleştirmelerini de istedi.
Saldırının Arkasındaki Gruplar
Microsoft, saldırının arkasında olduğu iddia edilen Linen Typhoon grubunun 2012’den bu yana “öncelikle hükümet, savunma, stratejik planlama ve insan haklarıyla ilgili kuruluşları hedef alarak fikri mülkiyeti çalmaya odaklandığını” söyledi.
Açıklamada, Violet Typhoon’un da 2015’ten bu yana “esas olarak ABD, Avrupa ve Doğu Asya’daki eski hükümet ve askeri personel, sivil toplum kuruluşları, düşünce kuruluşları, yükseköğretim, dijital ve basılı medya, finans ve sağlık sektörlerini hedef alan casusluk faaliyetleri yürüttüğü” belirtildi.
Üçüncü grup Storm-2603’ün Çin merkezli olduğuna dairse kesin bir bilgi yok. Teknoloji devi bundan “orta düzeyde emin olduklarını”, ancak grup ile diğer Çinli aktörler arasında bağlantı tespit etmediğini bildirdi.
Ayrıca güvenlik güncellemeleri yüklenmemişse, “başka aktörlerin” de şirket içi SharePoint sistemlerini hedef alarak güvenlik açıklarından yararlanabileceği konusunda uyardı.