Kampanyayı ortaya çıkarmaya yardımcı olan araştırmacılardan biri Pazartesi günü yaptığı açıklamada, Microsoft sunucu yazılımını hedef alan kapsamlı bir siber casusluk operasyonunun hafta sonu itibariyle yaklaşık 100 farklı kuruluşu tehlikeye attığını söyledi.
Cumartesi günü Microsoft, devlet kurumları ve işletmeler tarafından kuruluşlar içindeki belgeleri paylaşmak için yaygın olarak kullanılan, kendi kendini yöneten SharePoint sunucularına “aktif saldırılar” konusunda bir uyarı yayınladı.
Daha önce açıklanmayan bir dijital zayıflıktan yararlandığı için “sıfır gün” olarak adlandırılan hackler, casusların savunmasız sunuculara girmesine ve mağdur kuruluşlara sürekli erişim sağlamak için potansiyel olarak bir arka kapıyı düşürmesine izin veriyor.
Cuma günü müşterilerinden birini hedef alan hack kampanyasını keşfeden Hollanda merkezli bir siber güvenlik firması olan Eye Security’nin baş korsanı Vaisha Bernard, ShadowServer Vakfı ile yapılan bir internet taramasının toplamda yaklaşık 100 kurbanı ortaya çıkardığını söyledi – ve bu, hacklemenin arkasındaki tekniğin yaygın olarak bilinmesinden önceydi.
Bernard, “Bu açık,” dedi. “O zamandan beri diğer düşmanların diğer arka kapıları yerleştirmek için ne yaptığını kim bilebilir.”
Yetkili, ilgili ulusal makamlara bildirildiğini söyleyerek etkilenen örgütleri tespit etmeyi reddetti. ShadowServer Vakfı hemen yorum isteyen bir mesaj döndürmedi.
Başka bir araştırmacı, şu ana kadar casusluğun tek bir bilgisayar korsanının veya bir dizi bilgisayar korsanının işi gibi göründüğünü söyledi.
İngiliz siber güvenlik firması Sophos’un Tehdit İstihbaratı Direktörü Rafe Pilling, “Bunun hızla değişmesi mümkün” dedi.
Microsoft, bir şirket sözcüsü e-postayla gönderilen bir açıklamada, “güvenlik güncelleştirmeleri sağladığını ve müşterileri bunları yüklemeye teşvik ettiğini” söyledi. Devam eden saldırının arkasında kimin olduğu belli değildi.
FBI Pazar günü yaptığı açıklamada, saldırıların farkında olduğunu ve federal ve özel sektör ortaklarıyla yakın çalıştığını, ancak başka ayrıntı sunmadığını söyledi. İngiltere Ulusal Siber Güvenlik Merkezi yaptığı açıklamada, Birleşik Krallık’taki “sınırlı sayıda” hedefin farkında olduğunu söyledi.
İnternete bağlı ekipmanı tanımlamaya yardımcı olan bir arama motoru olan Shodan’ın verilerine göre, çevrimiçi olarak 8.000’den fazla sunucu teorik olarak bilgisayar korsanları tarafından tehlikeye atılmış olabilir.
Bu sunucular arasında büyük sanayi firmaları, bankalar, denetçiler, sağlık şirketleri ve birkaç ABD eyalet düzeyinde ve uluslararası devlet kuruluşu bulunmaktadır.
PwnDefend İngiliz siber güvenlik danışmanlığından Daniel Card, “SharePoint olayı, küresel olarak bir dizi sunucuda geniş bir uzlaşma düzeyi yaratmış görünüyor” dedi.
“Varsayılan bir ihlal yaklaşımı benimsemek akıllıcadır ve burada sadece yamanın uygulanmasının gerekli olanın olmadığını anlamak da önemlidir.”
