Çinli hackerlar Microsoft 365’in içinde 18 ay fark edilmeden kaldı

Yaklaşık bir buçuk yıl boyunca devlet bağlantılı bir grup Çinli hacker, kurumsal e-postaları okudu, iç dosyaları açtı ve şirket ağlarında dolaştı; bunu yaparken her izleme aracının gözünde işe giriş yapan sıradan bir çalışan gibi göründü. Güvenlik şirketi Volexity’nin ayrıntılarıyla anlattığı sızma, Microsoft 365’i kırmadı. Anahtarlara zaten sahip olanların kimliğine büründü.

Bu ayrım hikâyenin tamamı ve işi bir bulut hesabının içinde geçen herkesi neden ilgilendirdiğini açıklıyor. Microsoft 365, bugün çoğu şirketin postasını, belgelerini ve geri kalan her şeyi açan tek oturum açma kimliğini tuttuğu yer. Saldırganların bu sistemi yenmesi hiç gerekmedi. Geçerli bir oturum açma bilgisini ödünç alıp ön kapıdan girdiler ve “bu gerçekten siz misiniz?” diye sormak için tasarlanmış savunmalar evet dedi.

Grup UNC5221 olarak izleniyor, VerdantBamboo adıyla da biliniyor; araştırmacıların yıllardır kurumsal ağların kıyısındaki cihazları hedef aldığı için takip ettiği, Çin kökenli bir operasyon. Son kampanyası hukuk hizmetleri firmalarını, yazılım şirketlerini, süreç dış kaynak sağlayıcılarını ve teknoloji tedarikçilerini vurdu. Bunlar rastgele hedefler değil: başka kurumların sırlarını, müşteri dosyalarından kaynak koduna ve alt müşterilere uzanan anahtarlara kadar, elinde tutan kuruluşlar.

Cephanelik, erişimin neden bu kadar uzun süre görünmez kaldığını açıklıyor. Merkezdeki parça, önce Go dilinde yazılan, sonra Rust ile yeniden inşa edilen Brickstorm adlı bir arka kapı; güvenlik yazılımını neredeyse hiç çalıştırmayan ve neredeyse hiç denetlenmeyen ağ cihazlarına yerleştirildi. Bir olayda saldırganlar, şirketin VPN’i üzerinden erişilebilen bir Egnyte dosya senkronizasyon sistemiyle içeri girdi. Bu sessiz dayanak noktasından Brickstorm’un yerleşik proxy işlevi, faaliyetlerini kurbanın kendi ağı üzerinden yönlendirmelerine olanak tanıdı; öyle ki çalınmış kimlik bilgileriyle Microsoft 365’e ulaştıklarında bağlantı yerel ve meşru görünüyordu. Volexity, bunun bilinçli yapıldığını yüksek güvenle değerlendiriyor; normal trafiğe karışmanın ve yanlış yerden gelen bir oturum açmayı işaretleyecek koşullu erişim kurallarını atlatmanın bir yolu. İki parça daha kapıyı açık tuttu: operatörlere etkileşimli bir konsol ve dosya denetimi veren, araştırmacıların Plenet adını verdiği bir .NET arka kapısı ve yedek olarak bekletilen, AgentPSD adlı bir Python ters kabuğu. Asıl amaç bu fazlalıktı. Her şey keşfedilmeyi sonsuza dek önlemek için değil, keşfedilmeyi atlatmak için kurulmuştu.

En rahatsız edici ayrıntı zamanın hesabı. Tespit, ilk girişten yaklaşık on sekiz ay sonra geldi. Bu tarz kampanyalarda araştırmacılar, bir yılın hayli üzerinde ortalama bir kalış süresi ölçtü; çoğu durumda ilk sızmayı kaydeden günlükler, birinin bakması gerektiğini anlamasından önce rutin saklama politikalarıyla çoktan silinmiş olacak kadar uzun. Saldırganlar yalnızca saklanmadı: kanıtlardan daha uzun dayandılar.

Erişim ilk kurbanın ötesine geçti. En az bir olayda grup, onlarca küçük müşterinin teknolojisini işleten dış BT şirketi olan bir yönetilen hizmet sağlayıcısını ele geçirdi ve güvenlik duvarına bir Brickstorm sürümü yerleştirdi. Oradaki tek bir sızma, arkasındaki her müşteri için bir ana anahtara dönüşür. Hikâyenin Amerika Birleşik Devletleri’nin ötesine taşan kısmı bu; bilinen hedeflerin çoğu orada. BT’sini dışarıya veren her şirket, yani neredeyse her şirket, içini göremediği bir sağlayıcının güvenliğini devralır.

Bunların hiçbiri, bir yamanın kapatacağı bir Microsoft 365 kusuru değil. Giriş noktaları üçüncü taraf cihazlar ve çalınmış kimlik bilgileriydi; güvenilir bir oturum açma geldiğinde bulut tam da tasarlandığı gibi davrandı. Açıklamanın açık bıraktığı zor sorun bu. Sunucularında ve cihazlarında uç nokta tespiti yazılımı olmayan kuruluşların faaliyeti görme şansı neredeyse yoktu; olanlar bile, sıradan iş gibi görünmek üzere tasarlanmış bir operasyonla karşılaştı. Bu bir fidye yazılımı değil casusluk olduğu için, alarmı zorlayacak kilitli bir ekran ya da şantaj notu olmadı; yalnızca operatörler izlemeyi sürdürmek istediği sürece sessizce dışarı sızan veriler.

Sızmalar yaklaşık Mart 2025’te gün yüzüne çıktı ve uyarılar o zamandan beri çoğaldı. Ağustos 2025 ile Ocak 2026 arasında FBI, NSA ve ABD siber güvenlik ajansı CISA, Çin devleti destekli sızmalara dair bir dizi uyarı yayımladı; CISA ayrıca Brickstorm’un VMware sunucularını hedef aldığını ayrıca bildirdi. Araştırmacıların pratik tavsiyesi dar ve gösterişsiz: günlükleri, saldırganların saklanabileceğinden daha uzun süre saklayın ve ağın kıyısındaki sessiz cihazlara tespit koyun; sonuçta hayaletlerin yaşamayı tercih ettiği yer tam da orası.

Etiketler: siber güvenlik