(Bloomberg) — W odcinku, który podkreśla podatność globalnych sieci komputerowych, hakerzy zdobyli dane logowania do centrów danych w Azji, z których korzystają niektóre z największych światowych firm, co według firmy badawczej ds. .
Najczęściej czytane z Bloomberg
Niezgłoszone wcześniej pamięci podręczne danych obejmują e-maile i hasła do witryn pomocy technicznej dla dwóch największych operatorów centrów danych w Azji: GDS Holdings Ltd. z siedzibą w Szanghaju i ST Telemedia Global Data Centers z siedzibą w Singapurze. usługi cyberbezpieczeństwa i prowadzi dochodzenia w sprawie hakerów. Dotyczy to około 2,000 klientów GDS i STT GDC. Hakerzy zalogowali się na konta co najmniej pięciu z nich, w tym głównej chińskiej platformy wymiany walut i handlu długiem oraz czterech innych z Indii, według Resecurity, który powiedział, że zinfiltrował grupę hakerów.
Nie jest jasne, co — jeśli w ogóle — hakerzy zrobili z innymi loginami. Informacje obejmowały referencje w różnych liczbach dla niektórych z największych firm na świecie, w tym Alibaba Group Holding Ltd., Amazon.com Inc., Apple Inc., BMW AG, Goldman Sachs Group Inc., Huawei Technologies Co., Microsoft Corp., i Walmart Inc., według firmy ochroniarskiej i setek stron dokumentów, które przejrzał Bloomberg.
Odpowiadając na pytania dotyczące ustaleń Resecurity, GDS powiedział w oświadczeniu, że witryna obsługi klienta została naruszona w 2021 roku. Nie jest jasne, w jaki sposób hakerzy uzyskali dane STT GDC. Ta firma stwierdziła, że nie znalazła dowodów na to, że jej portal obsługi klienta został naruszony w tym roku. Obie firmy stwierdziły, że nieuczciwe dane uwierzytelniające nie stanowią zagrożenia dla systemów informatycznych ani danych klientów.
Jednak Resecurity i kierownictwo czterech dużych amerykańskich firm, których to dotyczyło, stwierdzili, że skradzione dane uwierzytelniające stanowią niezwykłe i poważne zagrożenie, głównie dlatego, że strony internetowe obsługujące klientów kontrolują, kto ma fizyczny dostęp do sprzętu IT znajdującego się w centrach danych. Ci dyrektorzy, którzy dowiedzieli się o incydentach z Bloomberg News i potwierdzili te informacje ze swoimi zespołami ds. bezpieczeństwa, poprosili o zachowanie anonimowości, ponieważ nie byli upoważnieni do publicznego wypowiadania się w tej sprawie.
Zapisz się do naszego cotygodniowego biuletynu dotyczącego cyberbezpieczeństwa, Cyber Bulletin, tutaj.
Skala utraty danych zgłoszona przez Resecurity podkreśla rosnące ryzyko, na jakie narażone są firmy ze względu na ich zależność od stron trzecich w zakresie przechowywania danych i sprzętu IT oraz pomocy ich sieciom w dotarciu na rynki światowe. Eksperci ds. bezpieczeństwa twierdzą, że problem jest szczególnie dotkliwy w Chinach, które wymagają od korporacji współpracy z lokalnymi dostawcami usług danych.
„To koszmar, który czeka, by się wydarzyć”, powiedział Michael Henry, były dyrektor ds. informacji w Digital Realty Trust Inc., jednym z największych operatorów centrów danych w USA, kiedy Bloomberg powiedział o incydentach. (Incydenty nie miały wpływu na Digital Realty Trust). Henry powiedział, że najgorszym scenariuszem dla każdego operatora centrum danych jest to, że osoby atakujące w jakiś sposób uzyskują fizyczny dostęp do serwerów klientów i instalują szkodliwy kod lub dodatkowy sprzęt. „Jeśli uda im się to osiągnąć, mogą potencjalnie zakłócić komunikację i handel na masową skalę”.
GDS i STT GDC powiedziały, że nic nie wskazywało na to, że coś takiego się wydarzyło i że nie miało to wpływu na ich podstawowe usługi.
Hakerzy mieli dostęp do danych logowania przez ponad rok, zanim opublikowali je na sprzedaż w ciemnej sieci w zeszłym miesiącu za 175,000 XNUMX USD, twierdząc, że byli przytłoczeni ich ilością, zgodnie z Resecurity i zrzutem ekranu z postem przejrzanym przez Bloomberg .
„Użyłem kilku celów” – napisali hakerzy w poście. „Ale nie jest w stanie obsłużyć, ponieważ łączna liczba firm przekracza 2,000”.
Według Resecurity adresy e-mail i hasła mogły pozwolić hakerom na podszywanie się pod autoryzowanych użytkowników na stronach internetowych obsługi klienta. Firma zajmująca się bezpieczeństwem odkryła pamięć podręczną danych we wrześniu 2021 r. i stwierdziła, że znalazła również dowody na to, że hakerzy używali ich do uzyskiwania dostępu do kont klientów GDS i STT GDC jeszcze w styczniu, kiedy obaj operatorzy centrów danych wymusili resetowanie haseł klientów, zgodnie z Resecurity.
Według Resecurity, nawet bez ważnych haseł, dane nadal byłyby cenne – umożliwiając hakerom tworzenie ukierunkowanych wiadomości phishingowych skierowanych przeciwko osobom posiadającym wysoki poziom dostępu do sieci ich firm.
Większość dotkniętych firm, z którymi skontaktował się Bloomberg News, w tym Alibaba, Amazon, Huawei i Walmart, odmówiła komentarza. Apple nie odpowiedział na wiadomości z prośbą o komentarz.
W oświadczeniu Microsoft powiedział: „Regularnie monitorujemy zagrożenia, które mogą mieć wpływ na firmę Microsoft, a gdy zostaną zidentyfikowane potencjalne zagrożenia, podejmujemy odpowiednie działania w celu ochrony firmy Microsoft i naszych klientów”. Rzecznik Goldman Sachs powiedział: „Mamy dodatkowe kontrole w celu ochrony przed tego typu naruszeniami i jesteśmy zadowoleni, że nasze dane nie były zagrożone”.
Producent samochodów BMW powiedział, że jest świadomy problemu. Ale rzecznik firmy powiedział: „Po dokonaniu oceny problem ma bardzo ograniczony wpływ na biznes BMW i nie spowodował żadnych szkód dla klientów BMW ani informacji związanych z produktami”. Rzecznik dodał: „BMW wezwało GDS do poprawy poziomu bezpieczeństwa informacji”.
GDS i STT GDC to dwaj najwięksi dostawcy usług „kolokacji” w Azji. Działają jako właściciele, wynajmując przestrzeń w swoich centrach danych klientom, którzy instalują tam własny sprzęt IT i zarządzają nim, zazwyczaj po to, aby być bliżej klientów i operacji biznesowych w Azji. Według firmy Synergy Research Group Inc., GDS jest jednym z trzech największych dostawców usług kolokacyjnych w Chinach, które są drugim co do wielkości rynkiem usług na świecie po Stanach Zjednoczonych. Singapur zajmuje szóste miejsce.
Firmy są również ze sobą powiązane: z akt korporacyjnych wynika, że w 2014 roku Singapore Technologies Telemedia Pte, matka STT GDC, nabyła 40% udziałów w GDS.
Dyrektor generalny Resecurity, Gene Yoo, powiedział, że jego firma odkryła incydenty w 2021 roku po tym, jak jeden z jej agentów działał pod przykrywką, aby zinfiltrować grupę hakerów w Chinach, która zaatakowała cele rządowe na Tajwanie.
Wkrótce potem zaalarmował GDS i STT GDC oraz niewielką liczbę klientów Resecurity, których to dotyczyło, zgodnie z Yoo i dokumentami.
Firma Resecurity powiadomiła GDS i STT GDC ponownie w styczniu po wykryciu hakerów uzyskujących dostęp do kont, a firma ochroniarska zaalarmowała również władze w Chinach i Singapurze w tym czasie, zgodnie z Yoo i dokumentami.
Obaj operatorzy centrów danych powiedzieli, że natychmiast zareagowali na powiadomienie o problemach z bezpieczeństwem i rozpoczęli wewnętrzne dochodzenie.
Cheryl Lee, rzeczniczka Agencji Bezpieczeństwa Cybernetycznego w Singapurze, powiedziała, że agencja „jest świadoma incydentu i pomaga ST Telemedia w tej sprawie”. Zespół techniczny National Computer Network Emergency Response / Centrum Koordynacyjne Chin, organizacja pozarządowa zajmująca się reagowaniem na cyberawarie, nie odpowiedziała na wiadomości z prośbą o komentarz.
GDS przyznał, że witryna obsługi klienta została naruszona i powiedział, że zbadał i naprawił lukę w witrynie w 2021 roku.
„Aplikacja, która była celem ataków hakerów, ma ograniczony zakres i informacje do niekrytycznych funkcji usługowych, takich jak wysyłanie zgłoszeń, planowanie fizycznej dostawy sprzętu i przeglądanie raportów z konserwacji”, zgodnie z oświadczeniem firmy. „Żądania składane za pośrednictwem aplikacji zazwyczaj wymagają kontynuacji i potwierdzenia w trybie offline. Biorąc pod uwagę podstawowy charakter aplikacji, naruszenie nie spowodowało żadnego zagrożenia dla operacji informatycznych naszych klientów.”
Firma STT GDC poinformowała, że gdy dowiedziała się o incydencie w 2021 r., zatrudniła zewnętrznych ekspertów ds. .
Firma twierdzi, że jej portal obsługi klienta nie został naruszony w 2021 r., a poświadczenia uzyskane przez Resecurity to „częściowa i nieaktualna lista poświadczeń użytkowników dla naszych aplikacji do obsługi zgłoszeń klientów. Wszelkie takie dane są teraz nieważne i nie stanowią zagrożenia dla bezpieczeństwa w przyszłości”.
„Nie zaobserwowano nieautoryzowanego dostępu ani utraty danych”, zgodnie z oświadczeniem STT GDC.
Niezależnie od tego, w jaki sposób hakerzy wykorzystali te informacje, eksperci ds. bezpieczeństwa cybernetycznego stwierdzili, że kradzieże pokazują, że napastnicy badają nowe sposoby infiltracji twardych celów.
Fizyczne bezpieczeństwo sprzętu IT w centrach danych innych firm oraz systemy kontroli dostępu do niego stanowią luki w zabezpieczeniach, które są często pomijane przez korporacyjne działy bezpieczeństwa, powiedział Malcolm Harkins, były szef ds. sprzęt „może mieć druzgocące konsekwencje” – powiedział Harkins.
Hakerzy uzyskali adresy e-mail i hasła ponad 3,000 osób w GDS – w tym własnych pracowników i klientów – oraz ponad 1,000 z STT GDC, zgodnie z dokumentami przejrzanymi przez Bloomberg News.
Hakerzy ukradli również dane uwierzytelniające do sieci GDS obejmującej ponad 30,000 12345 kamer monitorujących, z których większość opierała się na prostych hasłach, takich jak „admin” lub „adminXNUMX”, wynika z dokumentów. GDS nie odpowiedział na pytanie dotyczące rzekomej kradzieży danych uwierzytelniających do sieci kamer ani haseł.
Liczba danych logowania do witryn obsługi klienta była różna dla różnych klientów. Na przykład było 201 rachunków w Alibaba, 99 w Amazon, 32 w Microsoft, 16 w Baidu Inc., 15 w Bank of America Corp., siedem w Bank of China Ltd., cztery w Apple i trzy w Goldman, według dokumenty. Yoo z Resecurity powiedział, że hakerzy potrzebują tylko jednego ważnego adresu e-mail i hasła, aby uzyskać dostęp do konta firmy w portalu obsługi klienta.
Wśród innych firm, których dane do logowania pracowników pozyskano, zgodnie z Resecurity i dokumentami, były: Bharti Airtel Ltd. w Indiach, Bloomberg LP (właściciel Bloomberg News), ByteDance Ltd., Ford Motor Co., Globe Telecom Inc. na Filipinach Mastercard Inc., Morgan Stanley, Paypal Holdings Inc., Porsche AG, SoftBank Corp., Telstra Group Ltd. w Australii, Tencent Holdings Ltd., Verizon Communications Inc. oraz Wells Fargo & Co.
W oświadczeniu Baidu powiedział: „Nie wierzymy, że jakiekolwiek dane zostały naruszone. Baidu przywiązuje dużą wagę do zapewnienia bezpieczeństwa danych naszych klientów. Będziemy uważnie przyglądać się takim sprawom i pozostawać w pogotowiu na wszelkie pojawiające się zagrożenia dla bezpieczeństwa danych w dowolnej części naszej działalności”.
Przedstawiciel Porsche powiedział: „W tym konkretnym przypadku nie mamy żadnych wskazówek, że istniało jakiekolwiek ryzyko”. Przedstawiciel SoftBanku powiedział, że chińska spółka zależna przestała używać GDS w zeszłym roku. „Nie potwierdzono żadnego wycieku danych klientów z lokalnej chińskiej firmy ani nie wywarło to żadnego wpływu na jej działalność i usługi” – powiedział przedstawiciel.
Rzecznik Telstra powiedział: „Nie jesteśmy świadomi wpływu tego naruszenia na naszą działalność”, podczas gdy przedstawiciel Mastercard powiedział: „Chociaż nadal monitorujemy tę sytuację, nie jesteśmy świadomi żadnego ryzyka dla naszej działalności ani wpływu na naszą sieć lub systemy transakcyjne”.
Przedstawiciel Tencent powiedział: „Nie jesteśmy świadomi żadnego wpływu na biznes po tym naruszeniu. Zarządzamy naszymi serwerami bezpośrednio w centrach danych, a operatorzy obiektów centrów danych nie mają dostępu do żadnych danych przechowywanych na serwerach Tencent. Po zbadaniu nie wykryliśmy żadnego nieautoryzowanego dostępu do naszych systemów IT i serwerów, które pozostają bezpieczne”.
Rzecznik Wells Fargo powiedział, że korzystał z GDS do tworzenia kopii zapasowych infrastruktury IT do grudnia 2022 r. „GDS nie miał dostępu do danych, systemów ani sieci Wells Fargo” – podała firma. Pozostałe firmy odmówiły komentarza lub nie odpowiedziały.
Yoo z Resecurity powiedział, że w styczniu tajny agent jego firmy naciskał na hakerów, aby zademonstrowali, czy nadal mają dostęp do kont. Powiedział, że hakerzy dostarczyli zrzuty ekranu pokazujące, jak logują się na konta pięciu firm i przechodzą do różnych stron w portalach internetowych GDS i STT GDC. Resecurity pozwoliło Bloomberg News przejrzeć te zrzuty ekranu.
W GDS hakerzy uzyskali dostęp do konta China Foreign Exchange Trade System, ramienia chińskiego banku centralnego, który odgrywa kluczową rolę w gospodarce tego kraju, obsługując główną rządową platformę wymiany walut i handlu długiem, zgodnie ze zrzutami ekranu i Resecurity. Organizacja nie odpowiadała na wiadomości.
W STT GDC hakerzy uzyskali dostęp do kont National Internet Exchange of India, organizacji łączącej dostawców Internetu w całym kraju, oraz trzech innych z siedzibą w Indiach: MyLink Services Pvt., Skymax Broadband Services Pvt. i Logix InfoSecurity Pvt., pokazują zrzuty ekranu.
National Internet Exchange of India, do którego dotarł Bloomberg, powiedział, że nie był świadomy incydentu i odmówił dalszego komentarza. Żadna inna organizacja w Indiach nie odpowiedziała na prośby o komentarz.
Zapytany o twierdzenie, że w styczniu hakerzy nadal uzyskiwali dostęp do kont przy użyciu skradzionych danych uwierzytelniających, przedstawiciel GDS powiedział: „Ostatnio wykryliśmy wiele nowych ataków ze strony hakerów wykorzystujących stare informacje o dostępie do konta. Użyliśmy różnych narzędzi technicznych, aby zablokować te ataki. Jak dotąd nie znaleźliśmy żadnego nowego udanego włamania ze strony hakerów, co wynika z luki w zabezpieczeniach naszego systemu”.
Przedstawiciel GDS dodał: „Jak wiemy, jeden klient nie zresetował jednego ze swoich haseł do konta w tej aplikacji, które należało do jego byłego pracownika. To jest powód, dla którego niedawno wymusiliśmy zresetowanie hasła dla wszystkich użytkowników. Uważamy, że jest to odosobniony przypadek. Nie jest to wynikiem włamania się hakerów do naszego systemu bezpieczeństwa”.
STT GDC poinformowało, że w styczniu otrzymało powiadomienie o dalszych zagrożeniach dla portali obsługi klienta w „naszych regionach Indii i Tajlandii”. „Nasze dotychczasowe badania wskazują, że nie doszło do utraty danych ani wpływu na żaden z tych portali obsługi klienta” – powiedziała firma.
Pod koniec stycznia, po tym, jak GDS i STT GDC zmieniły hasła klientów, Resecurity wykrył hakerów, którzy wystawiali bazy danych na sprzedaż na forum Dark Web, w języku angielskim i chińskim, według Yoo.
„Bazy danych zawierają informacje o klientach, mogą być wykorzystywane do phishingu, dostępu do szafek, monitorowania zamówień i sprzętu, zamówień zdalnych” – napisano w poście. „Kto może pomóc w ukierunkowanym phishingu?”
Najczęściej czytane z Bloomberg Businessweek
© 2023 Bloomberg LP
Źródło: https://finance.yahoo.com/news/hackers-scored-data-center-logins-020028440.html