© 2025 CYBERSECURE DEVELOPMENT

BLOG

banner
yusuf dalbudak - 8 February 2025 - 4:53 PM

Son yıllarda, devlet destekli siber tehdit aktörlerinin sofistike saldırıları, küresel ölçekte endişe verici bir artış göstermektedir (SolarWinds Saldırısı , Microsoft Exchange Sunucularına Yönelik Saldırı , OPM Saldırısı gibi). Bu bağlamda, Rusya bağlantılı “Midnight Blizzard” (diğer adlarıyla Cozy Bear, APT29) adlı grubun gerçekleştirdiği siber casusluk faaliyetleri, özellikle teknoloji devleri ve devlet kurumlarını hedef alarak dikkat çekmektedir. Bu yazımda, Midnight Blizzard’ın Hewlett Packard Enterprise (HPE) ve Microsoft‘a yönelik saldırıları detaylı bir şekilde inceleyerek kullanılan teknikler ve alınması gereken önlemlerden bahsedeceğim.


Midnight Blizzard Siber Casus Grubu

İlk olarak neden siber casus grubu dediğimizi açıklayalım. Siber casus grupları genellikle, devlet destekli operasyonlarda bulunan, hedef seçimleri genellikle stratejik ve politik amaçlara dayanan, uzun vadeli ve kalıcı erişim sağlama yöntemleriyle hareket eden (hedef sisteme backdoor yerleştirmek, OAuth uygulama ihlalleri gibi), bilgi sızdırma ve istihbarat operasyonları gerçekleştirmek gibi amaçlarla hareket ederler. Ve bunun yanı sıra bu tür gruplar genelde saldırı için sofistike teknikler kullanırlar.

Nedir bu sofistike teknikler;

  • Parola Sprey Saldırıları: Amaç yaygın parolaları kullanarak zayıf sistemlere giriş yapmaktır.
  • Zero-day Açıkları: Daha önce bilinmeyen yazılım güvenlik açıklarını tespit ederek bu açıkları istismar ederler.
  • E-posta Kimlik Avı (Phishing): Hedefteki kişilere özel hazırlanmış oltalama e-postaları ile hassas bilgilere erişim sağlarlar.
  • Oturum Tekrarı Saldırıları: Çalınan oturum bilgilerini kullanarak hedef sistemlere erişim sağlar ve bu sayede kimlik doğrulama süreçlerini atlatır.


Hewlett Packard Enterprise (HPE) ve Midnight Blizzard Saldırısı: Rusya Devlet Destekli Siber Casusluk Operasyonu

Hawlett Packard Enterprise (HPE), Aralık 2023‘te yaptığı resmi açıklamayla, Rusya‘nın devlet destekli bir siber tehdit grubu olan Midnight Blizzard tarafından şirketin Microsoft Office 365 bulut tabanlı e-posta ortamına yönelik bir saldırının tespit edildiğini duyurdu. Bu saldırının Mayıs 2023‘te başladığı ve siber güvenlik ekibi ile diğer bazı departmanlara ait e-posta kutularından veri sızdırıldığı belirtildi.


Hewlett Packard Enterprise (HPE) Kimdir?

Hewlett Packard Enterprise (HPE), kurumsal bilgi teknolojisi çözümleri sunan çok uluslu bir şirkettir ve merkezi Palo Alto, Kaliforniya, ABD‘de bulunmaktadır. 2015 yılında, HP’nin (Hewlett-Packard) ikiye ayrılmasıyla kurulan HPE, işletmelere veri merkezi altyapısı, ağ teknolojileri, bulut bilişim ve depolama çözümleri gibi hizmetler sunarak kurumsal BT sektöründe öncü konuma gelmiştir.


Tarihsel Arka Plan

  • Kuruluş: 1939’da Bill Hewlett ve Dave Packard tarafından kurulan Hewlett-Packard, kişisel bilgisayar ve yazıcı sektöründe devrim yaratmış bir teknoloji şirketidir.
  • Bölünme: 2015 yılında HP, iki ayrı şirkete ayrıldı:
    • HP Inc.: Kişisel bilgisayarlar ve yazıcılar gibi son kullanıcı ürünlerine odaklandı.
    • Hewlett Packard Enterprise (HPE): Kurumsal BT çözümlerine yoğunlaştı.

Saldırının Detayları

Saldırının Tarihi ve Keşfi: HPE, 12 Aralık 2023‘te yetkili birimler tarafından saldırıya ilişkin bilgilendirildi. Ancak, saldırının başlangıcınının Mayıs 2023 olduğu tespit edildi.

Hedeflenen Alanlar: HPE’nin siber güvenlik, go-to-market (pazara giriş stratejileri) ve iş birimi segmentlerine ait e-posta kutuları bu saldırıda hedeflendi. Küçük bir kullanıcı grubuna ait e-posta kutularından veri sızdırıldığı belirtildi.

HPE tarafından yapılan Form 8-K adlı resmi başvuru belgesinde şu ifadeler yer aldı:

“Yaptığımız araştırmalara dayanarak, tehdit aktörünün Mayıs 2023’ten itibaren belirli bir HPE kullanıcı grubuna ait e-posta kutularına erişim sağladığını ve bu kutulardan veri sızdırdığını tespit ettik. Bu kullanıcı grubu, siber güvenlik, pazarlama ve diğer iş birimlerinden kişileri içermektedir.”


Hedef Alınan Sunucu: SharePoint

HPE, bu saldırının sadece Office 365 ortamı ile sınırlı olmadığını, aynı dönemde şirketin SharePoint sunucularına da yetkisiz erişim sağlandığını açıkladı. Bu erişim sırasında çeşitli dosyaların çalındığı tespit edildi. HPE, olayı daha önceki SharePoint ihlali ile ilişkilendirdi ve bunun aynı tehdit aktörleri tarafından düzenlendiğini belirtti.

Ayrıca, Securities & Exchange Commission’a (SEC) yapılan bildirimde, bu olayın operasyonel bir etkisinin bulunmadığı ve finansal olarak kayda değer bir zarar yaratmasının beklenmediği ifade edildi.


HPE’nin Resmi Açıklaması

“12 Aralık 2023’te HPE, ulus-devlet destekli bir tehdit aktörünün şirketin Office 365 ortamına yetkisiz erişim sağladığını öğrendi. Derhal siber müdahale protokollerimizi devreye sokarak olayı araştırmaya, sistemlerimizi temizlemeye ve etkilenen kullanıcıları belirlemeye başladık. Yaptığımız araştırmalara göre bu tehdit aktörü, Mayıs 2023’ten itibaren bazı e-posta kutularından veri sızdırdı. Bu olayın aktörünün Midnight Blizzard olduğuna inanıyoruz.”


Alınan Önlemler ve Önerilen Güvenlik Stratejileri

HPE, saldırıya maruz kaldıktan sonra hem kurum içi hem de dış kaynaklardan destek alarak kapsamlı güvenlik önlemleri almıştır:

  1. Çok faktörlü kimlik doğrulama (MFA) ve diğer kimlik yönetimi sistemlerinin güçlendirilmesi.
  2. OAuth ve erişim belirteçlerinin sıkı şekilde denetlenmesi ve eski, kullanılmayan hesapların kapatılması.
  3. Anlık izleme ve olay müdahale yeteneklerinin geliştirilmesi.

Bu tür Saldırılarda Genellikle Önerilen stratejiler:

  • Sürekli Tehdit İzleme: Olayların tespiti ve erken müdahale için sürekli izleme sistemlerinin etkin kullanımı gereklidir.
  • E-posta güvenlik duvarlarının (Email Gateway) güncellenmesi: Özellikle bulut ortamlarını hedef alan saldırılara karşı gelişmiş koruma sağlanmalıdır.
  • Sosyal mühendislik farkındalığı: Çalışanlara yönelik düzenli eğitimler, sosyal mühendislik ve oltalama saldırılarına karşı koruyucu bir önlem olabilir.

Sonuç: Genişleyen Siber Casusluk Tehditleri

Midnight Blizzard’ın HPE ve Microsoft gibi teknoloji devlerini hedef alması, devlet destekli siber tehdit aktörlerinin küresel ölçekte tehdit oluşturduğunu göstermektedir. Bu olay, özellikle bulut tabanlı sistemlerin ve kurumsal e-posta ortamlarının ne kadar hassas olduğunu bir kez daha ortaya koymuştur. Kurumların siber güvenlik stratejilerini güncellemeleri, sürekli proaktif savunma mekanizmaları geliştirmeleri ve çalışanlarını bu konuda eğitmeleri hayati önem taşımaktadır.

HPE’nin olaya verdiği hızlı yanıt, güvenlik sistemlerinin sürekli güncellenmesi ve dış kaynaklarla iş birliği yapmanın bu tür saldırılara karşı önemli olduğunu göstermektedir. Ancak, bu tür saldırıların gelecekte artarak devam edeceği göz önüne alındığında, daha kapsamlı ve güçlü güvenlik sistemleri oluşturmak kaçınılmaz hale gelmiştir.



yusuf dalbudak


REFERANSLAR

  • Microsoft – Midnight Blizzard | https://cdn-dynmedia-1.microsoft.com/is/content/microsoftcorp/microsoft/final/en-us/microsoft-brand/documents/Threat-Actor_Slides_Midnight-Blizzard.pdf
  • Bleeping Computer | https://www.the420.in/hewlett-packard-notifies-employees-of-data-breach-by-russian-hackers/

CATEGORIES:

BLOG-SİBER GÜVENLİK

Tags:

Previous
Next

Comments are closed

Latest Comments

  2. yusuf dalbudak

© 2025 CYBERSECURE DEVELOPMENT. Created with ❤ using WordPress and Kubio

Secured By miniOrange