Microsoft, Kimlik Bilgisi Saldırıları Konusunda Uyardı!

Microsoft, son yıllarda birçok siber saldırıdan tanıdığımız “Midnight Blizzard” olarak adlandırılan “NOBELIUM” tarafından düzenlenen kimlik doğrulama saldırılarında önemli bir artış tespit ettiğini açıkladı. Bu saldırıları farklı kılan nokta, kötü niyetli faaliyetlerinin kökenini gizlemek için konut proxy hizmetlerinin akıllıca kullanılmasıdır. Bu kötü niyetli saldırıların hedefleri arasında hükümetler, IT hizmet sağlayıcıları, STK’lar, savunma sanayi kuruluşları ve kritik üretim birimleri bulunmaktadır.

NOBELIUM olarak da bilinen “Midnight Blizzard”, bu kimlik doğrulama saldırılarını gerçekleştirmek için sofistike yöntemler kullanmaktadır. Brute force ve çeşitli şifre deneme alogoritmaları ve şifreleri çalma yöntemleri bulunmaktadır.Tehdidi artırmak için, tehdit aktörünün bulut kaynaklarına ilk erişimi sağlamak için muhtemelen haksız yollardan elde edilen çalınmış oturumları kullanarak oturum yeniden oynatma saldırıları kullandığı tespit edilmiştir.

Kimlik Bilgisi Saldırısı/Credential Attack Nedir?

Kimlik bilgisi saldırısı, siber güvenlikte önemli bir tehdit olarak kabul edilen bir saldırı türüdür. Bu tür saldırılar, kötü niyetli aktörlerin bir kişi veya kurumun kimlik bilgilerini ele geçirmeye çalıştığı yöntemler içerir. Kimlik bilgisi, bir kişinin veya kurumun tanınmasını sağlayan ve onu diğerlerinden ayırt eden bilgileri içerir.

Kimlik bilgisi saldırıları genellikle aşağıdaki yöntemlerle gerçekleştirilir:

1. Phishing (Sosyal Mühendislik): Saldırganlar, sahte e-postalar, web siteleri veya mesajlar aracılığıyla, kişilerden kimlik bilgilerini açıklamalarını veya giriş yapmalarını talep ederler.

2. Veri Sızıntısı ve Hırsızlık: Kötü niyetli kişiler, güvenli olmayan bir ağdan veya veri tabanından kimlik bilgilerini ele geçirebilir ve bu bilgileri kötü amaçlı amaçlar için kullanabilirler.

3. Brute Force Attacks: Saldırganlar, şifreleri tahmin etmek veya çalmak için otomatik yazılımlar kullanabilirler.

4. Token Çalma: Saldırganlar, oturum açma bilgilerini veya kimlik doğrulama belirteçlerini çalarak mevcut oturumları ele geçirebilirler.

Kimlik bilgisi saldırılarının hedefleri arasında kişi verileri, kredi kartı bilgileri, kullanıcı adları, şifreler, sosyal güvenlik numaraları ve diğer hassas bilgiler bulunabilir. Bu tür saldırıların önlenmesi için güçlü kimlik doğrulama yöntemleri, şifreleme, güvenlik yazılımları ve kullanıcı eğitimi gibi önlemler alınmalıdır.

Bu saldırıların dikkate değer bir yönü, düşük itibara sahip IP adreslerinin kullanılmasıdır; bunlar genellikle konut proxy hizmetleriyle ilişkilendirilir. “Midnight Blizzard”, komprome edilmiş kimlik bilgileri kullanarak bağlantılarını gizlemeyi başarır ve faaliyetlerini izlemeyi son derece zorlaştırır. Microsoft, bir dizi tweet serisinde, tehdit aktörünün bu IP adreslerini kısa sürelerle kullandığını ve etkili kapsam ve düzeltme çabalarına önemli zorluklar sunduğunu açıklamıştır.

Önemli bir not olarak belirtmek gerekir ki, “Midnight Blizzard” veya NOBELIUM, 2021 yılının sonlarında SolarWinds saldırısının arkasındaki grup olarak bilinmektedir ve dünya genelindeki siber tehditlerini her geçen artırarak sürdürmektedir.