Teknoloji devi Microsoft, SharePoint yazılımının şirket içi sürümünde bulunan açıkların devlet destekli Çinli siber saldırganlar tarafından istismar edildiğini duyurdu. Şirketin verdiği bilgiye göre, Linen Typhoon, Violet Typhoon ve Storm-2603 adlı üç tehdit aktörü, internet erişimli SharePoint sunucularına saldırmak için bu açıklardan faydalandı.

Microsoft’un yayımladığı blog yazısında, söz konusu güvenlik sorunlarının sadece şirket içi kullanılan SharePoint sunucularını etkilediği, bulut tabanlı SharePoint Online servisinin bu saldırılardan etkilenmediği vurgulandı.

Saldırılar 7 Temmuz’da başladı

Microsoft, saldırıların 7 Temmuz itibarıyla başladığını belirtirken, ilk alarmı veren kurum ise Hollanda merkezli siber güvenlik firması Eye Security oldu. Firma, yapılan taramalarda çok sayıda dijital iz tespit ederek saldırıya uğrayan kurum sayısını önce 100 olarak açıklamıştı. Yeni veriler bu sayının 400’e ulaştığını gösteriyor.

Eye Security’nin baş siber güvenlik uzmanı Vaisha Bernard, bu rakamın aslında çok daha yüksek olabileceğine dikkat çekerek, “Tüm saldırılar dijital iz bırakmıyor. Bu nedenle tespit edebildiklerimiz buzdağının görünen kısmı olabilir” ifadelerini kullandı.

Saldırganlar ne yapıyor?

Yayımlanan teknik analizde, saldırganların sunuculara kimlik doğrulama sistemini atlatarak kötü amaçlı kod yükleyebildiği, ayrıca kriptografik anahtarları ele geçirerek sistem üzerinde uzun süreli kontrol sağlayabildiği belirtildi. Eye Security, güvenlik yaması uygulanmadan önce ve sonra makine anahtarlarının mutlaka değiştirilmesi gerektiği uyarısında bulundu.

ABD Siber Güvenlik ve Altyapı Güvenlik Ajansı da müşterilere, Antimalware Tarama Arayüzü’nü doğru yapılandırmaları ve Microsoft Defender Antivirus programını aktif hale getirmeleri yönünde tavsiyede bulundu.

Hedefte hangi gruplar var?

Microsoft’un açıklamasında saldırıdan sorumlu olduğu belirtilen Linen Typhoon grubunun 2012’den bu yana özellikle hükümet kurumları, savunma sanayi, insan hakları örgütleri ve stratejik planlama kuruluşlarını hedef aldığı bilgisi yer aldı. Violet Typhoon’un ise 2015’ten beri ABD, Avrupa ve Asya’daki akademisyenler, sivil toplum örgütleri ve medya temsilcilerine yönelik casusluk faaliyetleri yürüttüğü belirtildi.

Storm-2603 adlı grubun ise Çin merkezli olduğu düşünülse de, Microsoft bu konuda yalnızca “orta düzeyde emin” olduklarını bildirdi ve doğrudan bir bağlantı kanıtı bulamadıklarını kaydetti.

Ne yapmalı?

Eye Security, SharePoint sunucularının saldırıya uğradığını fark eden kurumlara şu tavsiyelerde bulunuyor: Etkilenen sunucuların kapatılması, potansiyel olarak sızdırılmış tüm kimlik bilgilerinin ve şifrelerin yenilenmesi, ayrıca profesyonel bir siber güvenlik ekibiyle temasa geçilmesi.

Uzmanlara göre bu tür saldırılar hızla yayılabilir ve ciddi sonuçlar doğurabilir. Bu nedenle şirketlerin, güvenlik güncellemelerini geciktirmeden uygulamaları ve sistemlerini sürekli olarak izlemeleri kritik önem taşıyor.