Microsoft’un Çin’de (ve muhtemelen diğer yabancı ülkelerde) ikamet eden mühendisleri, Amerika Birleşik Devletleri Savunma Bakanlığı (DoD) sistemlerinin uzaktan bakımını yapmak için kullandığını ortaya koyan kapsamlı bir araştırma raporu yayınlandı.
Üstelik bu mühendislerin, genellikle yabancı mühendisleri uygun şekilde denetlemek için gereken teknik uzmanlıktan yoksun olan ve “dijital refakatçiler” olarak adlandırılan ABD vatandaşları tarafından denetlendiği kaydediliyor. Bu durum, hassas verilerin ifşa edilmesi konusunda endişelere ve bazı hack olaylarının nedeninin bu olabileceği düşüncesine yol açıyor.
Propublica’nın raporuna göre, Microsoft, özellikle kritik öneme sahip sınıflandırılmamış “Etki Seviyesi 4-5” ortamları olmak üzere, DoD sistemlerinin bakım ve destek görevlerini üstlenmek üzere Çin’de mühendisler istihdam ediyor. Güvenlik iznine sahip ABD personeli de, yabancı mühendisin talimatlarını DoD sistemine ileterek “refakatçi” görevi görüyor. BU refakatçilerin, çok az kodlama bilgisine sahip eski askerler veya düşük ücretli sözleşmeli çalışanlar olduğu ve bu nedenle kötü amaçlı kod enjekte edilip edilmediğini tespit etmenin neredeyse imkansız olacağı notu var.
Eski CIA ve NSA liderleri de dahil olmak üzere siber güvenlik uzmanları, bu yapının casusluk veya sabotaj için doğrudan bir yol sunduğu konusunda uyarıyor. Microsoft’un güvenlik riskleri konusunda dahili olarak uyarıldığı, ancak yine de programı genişlettiği ve bu düzenlemenin yaklaşık 10 yıldır yürürlükte olduğu bildirildi.
2023 Senato Duruşması: Microsoft Başkanı Brad Smith, 2023’de bir Senato duruşmasında yabancı mühendislerin yanlışlıkla veya kasıtlı olarak güvenlik açıkları oluşturup oluşturamayacağı konusunda sorularla karşı karşıya kaldı. Şimdi Savunma Bakanlığı’nın, Microsoft ile yapılan sözleşmeleri, denizaşırı geliştirme risklerini değerlendirmek için incelediği bildirildi.
Microsoft, dijital refakatçilerin ABD hükümeti ve FedRAMP yönergeleri uyarınca çalıştığını ve yabancı mühendislerin sisteme doğrudan erişiminin olmadığını söylüyor. DISA (Savunma Bilgi Sistemleri Ajansı), sınıflandırılmamış ortamlarda sorun teşhisi için refakatçilerin kullanıldığını, sınıflandırılmış sistemler için kullanılmadığını doğruladı.
Bu “dijital refakatçi” düzenlemeleri, ABD dışındaki personelin hassas DoD verilerine erişimini engelleyen yasakları aşıyor. Model, büyük ölçüde refakatçilerin komutları yorumlamasına ve girmesine dayanıyor, ancak bunları incelemek için yeterli teknik uzmanlığa sahip değiller. Uzmanlar, özellikle Çin’in yerleşik siber casusluk programları göz önüne alındığında, bunun yüksek riskli bir güvenlik açığı oluşturduğu konusunda uyarıyor. Çin Ulusal İstihbarat Yasası (2017), şirketlerin ve bireylerin istendiğinde devlet casuslarıyla iş birliği yapmasını gerektiriyor.
ProPublica’nın raporu, Pentagon’un bu uygulamaları olası bir şekilde incelemesini sağladı. Siber güvenlik kurulları daha önce Microsoft’u, 2023’teki Storm-0558 saldırısı gibi ilgili güvenlik açıkları nedeniyle işaretlemiş ve bu da bir dizi denetim eksikliğinin altını çizmişti. Reform çağrıları, daha sıkı inceleme, refakatçiler için daha fazla eğitim veya modelin tamamen ortadan kaldırılmasını öneriyor.
Bazı Hack Olaylarının, Konuyla İlgisi Araştırılıyor
Microsoft’un Çinli mühendisleri içeren “dijital refakatçi” modelinin bilinen bir saldırıda istismar edildiğine dair henüz doğrudan bir kanıt olmasa da, siber güvenlik uzmanları, özellikle Çin devlet bağlantılı gruplar tarafından yakın zamanda gerçekleştirilen birkaç büyük ihlalde istismar edilen türden bir güvenlik açığı sunduğu konusunda uyarıyor. Örnek bir kaç hack olayı şöyle sıralanıyor;
- Storm-0558 Saldırısı (2023) – Microsoft, Çin, DoD E-posta İhlali : Çinli bir hacker grubu (Storm-0558), Dışişleri Bakanlığı ve Ticaret Bakanlığı’ndakiler de dahil olmak üzere ABD hükümetinin Outlook e-posta hesaplarına yetkisiz erişim sağladı. Saldırganlar, Microsoft’un kriptografik anahtarları yanlış kullanmasını istismar eden sahte bir Microsoft Azure kimlik doğrulama belirteci kullandı. İhlal, Microsoft’un merkezi bulut altyapısını istismar etti. DHS/CISA kurulu daha sonra bunu “önlenebilir” olarak nitelendirdi ve güvenli mühendislik ve denetimdeki sistemsel eksikliklere atıfta bulundu; bu zayıflıklar “dijital refakatçi” modelinde de ortaya çıktı.
- SolarWinds Tarzı Üçüncü Taraf Riskleri : Dijital refakatçi programıyla doğrudan bağlantılı olmasa da SolarWinds, güvenilir erişim zincirlerinin (dolaylı yükleniciler aracılığıyla bile) kötü amaçlı kod enjekte etmek için nasıl kullanılabileceğini gösterdi. Uzmanlar, insan vekilleri (refakatçiler) aracılığıyla çalışan yabancı mühendislerin de benzer bir risk vektörü olduğunu savunuyor: Saldırganın, insan girdi arayüzünü kontrol edebiliyorsa doğrudan oturum açmasına gerek yok. NSA ve CISA, 2024 yılında, zayıf denetime sahip, döngüde insan bulunan operasyonel modellerin “yeni nesil tedarik zinciri güvenlik açıkları” olduğu konusunda uyardı.
- Bulut Hatalı Yapılandırmalarının İstismarı (2021–2024) : Birçok ihlal (bazıları raporlanmış, çoğu raporlanmamış), Microsoft bulut hizmetlerindeki kiracı hatalarını içeriyordu. En az bir gizli ABD Hava Kuvvetleri iç denetimi (2023, kamuya açık değil), yabancı destekli bakım rutinlerini, özellikle 7/24 ABD teknik denetimi olmayan sistemlerde, ayrıcalık yükseltme açısından yüksek riskli olarak işaretledi.
Bu güvenlik açıkları genellikle aylarca tespit edilemiyor; tıpkı yetersiz eğitimli bir refakatçinin farkında olmadan kötü amaçlı bir komut girmesi durumunda yaşananlara benzer.
Microsoft uygunsuz erişimi reddetse de, ABD açısından risk henüz çözümlenmemiş durumda. Soruşturmalar, Çinli mühendislerin zayıf güvenlik önlemlerine sahip kritik DoD sistemlerini yönettiğini doğrularsa, sözleşme iptalleri (JEDI bulut gibi), savunma projelerinde yabancı teknoloji işçiliğini yasaklayan yeni yasalar, pentagon bulut bilişiminde büyük bir değişiklik gibi olaylar meydana gelebileceği raporlanyor.
Kaynak : 