Microsoft’un kurumsal sunucu altyapısını hedef alan ve dünya genelinde yaklaşık 100 farklı kurumu etkileyen büyük ölçekli bir siber casusluk operasyonu ortaya çıktı. Birden fazla siber güvenlik firması tarafından doğrulanan saldırıda, özellikle SharePoint sunucularındaki kritik bir “sıfırıncı gün” (zero-day) açığı üzerinden sistemlere sızıldığı belirlendi.
Saldırı Yöntemi ve Etki Alanı
Saldırganlar, henüz Microsoft tarafından kamuya duyurulmamış bir güvenlik açığını kullanarak SharePoint sunucularına arka kapı (backdoor) bileşenleri yerleştirdi. Bu sayede siber casuslar, uzun süreli ve kalıcı erişim elde etti. Sunucuların, özellikle düzenli yama ve güvenlik kontrollerinden geçmeyen kurumlarda, tespit edilmeden izlenebildiği kaydedildi.
Araştırmalara göre, saldırıların büyük bölümü ABD ve Almanya’daki devlet kurumlarını hedef aldı. Ancak bankacılık, sanayi, denetim, sağlık ve kamu hizmetleri sunan diğer sektörlerde de etkilenenler olduğu bildirildi. Shadowserver ve Eye Security firmaları, toplamda 100’e yakın kurumun saldırıya uğradığını, Shodan taramalarında ise 8.000’den fazla sunucunun halen savunmasız olduğunu belirtti.
Uluslararası Alarm ve Olası Aktörler
Google’ın internet trafiği analizlerine göre saldırılar, Çin bağlantılı bir tehdit aktörüne uzanıyor olabilir. FBI ve İngiltere Ulusal Siber Güvenlik Merkezi, vakalardan haberdar olduklarını ve ilgili kurumlarla birlikte koordineli çalıştıklarını açıkladı. Çin hükümeti ise konuya dair herhangi bir yorumda bulunmadı.
Güvenlik uzmanları, saldırının yalnızca yamalarla değil, detaylı sistem denetimleriyle kontrol altına alınabileceği uyarısında bulunuyor. Çünkü saldırganlar, izlerini gizleyerek kurum içinde kalıcı izleme veya veri sızdırma faaliyetlerine devam edebiliyor.