Microsoft, SharePoint sunucularına yönelik siber saldırılarda Çin bağlantılı üç farklı tehdit aktörünün tespit edildiğini duyurdu. Son birkaç gün içinde gerçekleşen bu saldırılar, hangi grupların ne zaman ve hangi yöntemle sistemi hedef aldığını ortaya koyuyor.
Şirketin paylaştığı bilgilere göre, Linen Typhoon, Violet Typhoon ve Storm-2603 olarak adlandırılan üç Çin merkezli hacker grubu, SharePoint 2016 dahil olmak üzere bazı sürümlerde bulunan ve henüz geçtiğimiz hafta ortaya çıkarılan bir güvenlik açığını kullandı. Bu açık sayesinde saldırganlar, kurum içi SharePoint sunucularına erişim sağlayabiliyor, şifreleri toplayabiliyor ve bağlı sistemlerde hareket edebiliyor. Microsoft, söz konusu zafiyetin kamuya açıklanmasının ardından yeni saldırıların artacağı görüşünde. Bu nedenle tüm sistem yöneticilerine, ilgili güncellemeleri zaman kaybetmeden yüklemeleri öneriliyor.
Hollanda merkezli siber güvenlik firması Eye Security, açığın kullanıldığı saldırılarla ilgili ilk kapsamlı verileri sağladı. Şirkete göre, saldırılardan etkilenen 54 kuruluş arasında özel bir üniversite, ABD’nin Kaliforniya eyaletinde hizmet veren enerji şirketi ve federal düzeyde faaliyet gösteren bir sağlık kurumu yer alıyor. Buna ek olarak, bazı saldırıların Çin içerisinden gelen IP adresleri üzerinden gerçekleştirildiği de ortaya konmuş durumda. Bu da saldırıların sadece Çin merkezli gruplar tarafından değil, doğrudan ülke içinden yönlendirilmiş olabileceğini gösteriyor.
Microsoft, SharePoint güvenlik açığını kapattığını ancak yeni saldırıların sürebileceğini belirtiyor
Microsoft, 22 Temmuz sabahı yayımladığı güncellemeyle SharePoint 2016 ve etkilenen diğer sürümler için güvenlik yamalarını kullanıcılarla paylaştı. Şirket, açık sayesinde saldırganların hem veri çalabildiğini hem de sistemler arası geçiş yapabildiğini vurguladı. SharePoint gibi kurumsal sistemlerin çoğu zaman doğrudan internete açık şekilde yapılandırılması, bu tür saldırıların etkisini artıran bir unsur olarak görülüyor. Güncellemenin yüklenmemesi hâlinde sistemlerin hâlâ saldırı riski altında olduğu belirtiliyor. Buna rağmen bazı kurumların bu yamayı henüz uygulamaması, yeni saldırılar için zemin oluşturabilir.
Saldırının teknik detaylarına ilişkin ilk bilgileri yayımlayan Eye Security, açığın kötüye kullanılmasının oldukça sistematik gerçekleştiğini belirtti. Elde edilen verilere göre saldırganlar önce SharePoint’e yetkisiz erişim sağlıyor, ardından iç ağda kullanıcı bilgilerini ele geçiriyor ve mümkünse diğer sistemlere de sızıyor. Kurumların log analizleri ve güvenlik duvarı kayıtlarını dikkatle incelemesi gerektiği vurgulanıyor. Şu anda başka tehdit gruplarının da aynı açığı kullandığı yönünde işaretler bulunuyor ancak bu grupların kimlikleri henüz kesinleşmedi.
