W ciągu ostatniego półtora roku zaobserwowano cyberataki skierowane na wiele centrów danych w kilku regionach globu, co skutkowało eksfiltracją informacji dotyczących niektórych z największych firm na świecie i publikacją danych uwierzytelniających dostęp w ciemnej sieci, podaje firma cybernetyczna Resecurity. „Złośliwa aktywność w cyberprzestrzeni wymierzona w organizacje centrów danych tworzy znaczący precedens w kontekście cyberbezpieczeństwa łańcucha dostaw” – czytamy na jej firmowym blogu Resecurity we wpisie na blogu. „Resecurity oczekuje, że atakujący zwiększą złośliwą aktywność cybernetyczną związaną z centrami danych i ich klientami”. Wprawdzie Resecurity nie wymieniło ofiar, ale według osobnego raportu Bloomberga, cyberataki wykradły dane uwierzytelniające centra danych z dużych korporacji. Na liście są m.in. Alibaba, Amazon, Apple, BMW, Goldman Sachs, Huawei Technologies, Microsoft i Walmart. Bloomberg ujawnił, że jego dziennikarze przejrzeli dokumenty Resecurity związane ze złośliwą działalnością.

Resecurity po raz pierwszy ostrzegł centra danych o złośliwej kampanii skierowanej na nie we wrześniu 2021 roku, z kolejnymi aktualizacjami o dwóch innych epizodach w ciągu 2022 i stycznia 2023 roku. Celem działalności była kradzież wrażliwych danych od przedsiębiorstw i organizacji rządowych, które są klientami centrów danych, twierdzi Resecurity.

Zobacz również:

• Ponad pół miliona kont Roku w niebezpieczeństwie po ataku
• Apple ostrzega użytkowników w 92 krajach. Uwaga na ataki szpiegowskie
• Złośliwe oprogramowanie Qbot - czy jest groźne i jak się chronić?

Dane klientów wyrzucone do darknetu

Ostatnio dane uwierzytelniające związane z organizacjami centrów danych i zdobyte podczas różnych epizodów złośliwej kampanii zostały opublikowane na podziemnym forum Breached.to i wykryte przez badaczy w poniedziałek. Niektóre fragmenty tego konkretnego cache’a danych zostały również udostępnione przez różnych aktorów zagrożeń na Telegramie. Resecurity zidentyfikował w darknecie kilku cyberprzestępców, potencjalnie pochodzących z Azji, którzy w trakcie kampanii zdołali uzyskać dostęp do rekordów klientów i eksfiltrować je z jednej lub wielu baz danych związanych z konkretnymi aplikacjami i systemami wykorzystywanymi przez kilka organizacji zajmujących się centrami danych.

W co najmniej jednym z przypadków początkowy dostęp został prawdopodobnie uzyskany za pośrednictwem podatnego na ataki modułu helpdesku lub zarządzania zgłoszeniami, który był zintegrowany z innymi aplikacjami i systemami, co pozwoliło aktorowi stwarzającemu zagrożenie na wykonanie ruchu bocznego. Aktor zdołał wyodrębnić listę kamer CCTV z powiązanymi identyfikatorami strumieni wideo wykorzystywanych do monitorowania środowisk centrum danych, a także informacje uwierzytelniające związane z personelem IT centrum danych i klientami, informuje Resecurity.

Po zebraniu danych uwierzytelniających, aktor przeprowadził aktywne sondowanie, aby zebrać informacje o przedstawicielach klientów korporacyjnych, którzy zarządzają operacjami w centrum danych, listy zakupionych usług i rozmieszczonego sprzętu.

Złośliwa aktywność celuje w dane weryfikacyjne klientów

We wrześniu 2021 roku, kiedy kampania została po raz pierwszy zaobserwowana przez analityków Resecurity, aktor zagrożeń zaangażowany w ten epizod był w stanie zebrać różne rekordy od ponad 2000 klientów centrów danych - podaje Resecurity. Obejmowały one dane uwierzytelniające, e-mail, telefon komórkowy i referencje do dowodów osobistych, prawdopodobnie wykorzystywane w niektórych mechanizmach weryfikacji klientów. (Około 24 stycznia 2023 roku dotknięta organizacja wymagała od klientów zmiany haseł).

Aktor był również w stanie skompromitować jedno z wewnętrznych kont e-mail używanych do rejestracji gości, które mogło być następnie wykorzystane do cyberszpiegostwa lub innych złośliwych celów, powiedział Resecurity. W drugim zaobserwowanym przypadku kampanii, w 2022 roku, aktor był w stanie eksfiltrować bazę danych klientów przypuszczalnie zawierającą 1 210 rekordów z organizacji centrum danych z siedzibą w Singapurze.

Trzeci epizod złośliwej kampanii, zaobserwowany w styczniu tego roku, dotyczył organizacji w USA, która była klientem jednego z wcześniej dotkniętych centrów danych. „Informacje o tym epizodzie pozostają ograniczone w porównaniu do 2 poprzednich epizodów, ale Resecurity był w stanie zebrać kilka danych uwierzytelniających używanych przez personel IT, który udzielił dostępu do portalu klienta w innym centrum danych” – poinformowało Resecurity.

Następnie 28 stycznia dane skradzione podczas kampanii zostały opublikowane na sprzedaż w podziemnej społeczności w ciemnej sieci o nazwie Ramp, która jest często wykorzystywana przez brokerów wstępnego dostępu i grupy ransomware. „Aktor najprawdopodobniej zdawał sobie sprawę, że jego działalność może zostać wykryta, a wartość danych może spaść z czasem, dlatego pomysł natychmiastowej monetyzacji był oczekiwanym krokiem” – napisało Resecurity, dodając, że mogą istnieć inne powody zrzutu danych. „Taka taktyka jest często wykorzystywana przez aktorów państw narodowych do maskowania swojej aktywności, zazwyczaj w celu rozmycia motywu ataku”.

Azjatyckie centra danych podobno zostały zaatakowane

Podczas gdy Resecurity nie wymienił operatorów centrów danych, które zostały zidentyfikowane w ataku, Bloomberg reortdował, że GDS Holdings z siedzibą w Szanghaju i ST Telemedia Global Data Centres z siedzibą w Singapurze są wśród organizacji będących ofiarami. GDS przyznał, że w 2021 roku doszło do naruszenia strony internetowej wsparcia klienta, ale powiedział, że nie było zagrożenia dla systemów informatycznych klientów lub danych, podał Bloomberg. ST Telemedia również powiedział, że nie było ryzyka dla klientów.

Organizacje zidentyfikowane w zhakowanych zestawach danych to instytucje finansowe o globalnym zasięgu, a także fundusze inwestycyjne, firmy zajmujące się badaniami biomedycznymi, sprzedawcy technologii, witryny e-commerce, usługi w chmurze, dostawcy usług internetowych i firmy zajmujące się sieciami dostarczania treści, według Resecurity. Firmy te mają siedziby w USA, Wielkiej Brytanii, Kanadzie, Australii, Szwajcarii, Nowej Zelandii i Chinach, podają badacze.

Resecurity nie zidentyfikował żadnych znanych grup APT, które miałyby być odpowiedzialne za ataki. Badacze zauważają, że możliwe jest, iż ofiary zostały skompromitowane przez wielu, różnych aktorów. W przeciwnym razie, wybór RAMP jako rynku do oferowania danych zaoferował pewne wskazówki. RAMP dodał wsparcie dla języka chińskiego i powitał chińskojęzycznych hakerów do przyłączenia się. „Większość sekcji forum ma chińskie tłumaczenie i to właśnie tam mogliśmy zidentyfikować wielu aktorów pochodzących z Chin i krajów mających siedzibę w Azji Południowo-Wschodniej” – uważają analitycy Resecurity.

Informacje o złośliwej aktywności zostały udostępnione poszkodowanym stronom i krajowym zespołom reagowania na zagrożenia komputerowe (CERT) w Chinach i Singapurze. Firma badawcza podzieliła się również informacjami z amerykańskimi organami ścigania, ponieważ w zbiorach danych znajdowała się znaczna ilość informacji związanych z głównymi korporacjami z listy „Fortune 500”.

Źródło: CSO