(Блумберг) — У епизоди која наглашава рањивост глобалних рачунарских мрежа, хакери су добили акредитиве за пријаву у центре података у Азији које користе неке од највећих светских предузећа, што је потенцијална награда за шпијунирање или саботажу, према компанији за истраживање сајбер безбедности .
Најчитаније са Блоомберга
Раније непријављене кеш меморије података укључују е-пошту и лозинке за веб локације за корисничку подршку за два највећа оператера дата центара у Азији: ГДС Холдингс Лтд. са седиштем у Шангају и СТ Телемедиа Глобал Дата Центрс са седиштем у Сингапуру, према Ресецурити Инц., који обезбеђује услуге сајбер безбедности и истражује хакере. Погођено је око 2,000 купаца ГДС-а и СТТ ГДЦ-а. Хакери су се пријавили на налоге најмање пет њих, укључујући главну кинеску платформу за трговину девизама и дугом и четири друга из Индије, наводи Ресецурити, који је рекао да се инфилтрирао у хакерску групу.
Није јасно шта су — ако ишта — хакери урадили са другим пријавама. Информације су укључивале акредитиве у различитим бројевима за неке од највећих светских компанија, укључујући Алибаба Гроуп Холдинг Лтд., Амазон.цом Инц., Аппле Инц., БМВ АГ, Голдман Сацхс Гроуп Инц., Хуавеи Тецхнологиес Цо., Мицрософт Цорп., и Валмарт Инц., према безбедносној фирми и стотинама страница докумената које је Блумберг прегледао.
Одговарајући на питања о налазима Ресецурити-а, ГДС је у саопштењу навео да је веб локација за корисничку подршку проваљена 2021. Није јасно како су хакери дошли до података СТТ ГДЦ-а. Та компанија је саопштила да није пронашла доказе да је њен портал за корисничку подршку компромитован те године. Обе компаније су рекле да лажни акредитиви не представљају ризик за ИТ системе или податке клијената.
Међутим, Ресецурити и руководиоци четири велике америчке компаније које су биле погођене рекли су да украдени акредитиви представљају необичну и озбиљну опасност, првенствено зато што веб странице за корисничку подршку контролишу коме је дозвољен физички приступ ИТ опреми која се налази у центрима података. Они руководиоци, који су за инциденте сазнали од Блумберг њуза и потврдили информације са својим безбедносним тимовима, који су тражили да не буду идентификовани јер нису били овлашћени да јавно говоре о томе.
Пријавите се за наш недељни билтен о сајбер безбедности, Сајбер билтен, овде.
Величина губитка података коју је пријавила Ресецурити наглашава растући ризик са којим се компаније суочавају због њихове зависности од трећих страна да би сместиле податке и ИТ опрему и помогле својим мрежама да дођу до глобалних тржишта. Стручњаци за безбедност кажу да је ово питање посебно акутно у Кини, која захтева да корпорације буду партнери са локалним добављачима услуга података.
„Ово је ноћна мора која чека да се догоди“, рекао је Мајкл Хенри, бивши директор информација за Дигитал Реалти Труст Инц., једног од највећих оператера центара података у САД, када је Блумберг рекао за инциденте. (Инциденти нису утицали на Дигитал Реалти Труст). Најгори сценарио за било ког оператера дата центра је да нападачи некако добију физички приступ серверима клијената и инсталирају злонамерни код или додатну опрему, рекао је Хенри. „Ако то могу да постигну, потенцијално могу да поремете комуникацију и трговину у огромном обиму.
ГДС и СТТ ГДЦ су рекли да немају назнака да се тако нешто догодило и да то није утицало на њихове основне услуге.
Хакери су имали приступ акредитивима за пријаву више од годину дана пре него што су га прошлог месеца поставили на продају на мрачном вебу, за 175,000 долара, рекавши да су преплављени обимом тога, наводи Ресецурити и снимак екрана који је прегледао Блумберг. .
„Користио сам неке мете“, рекли су хакери у објави. „Али не могу да се носим јер је укупан број компанија преко 2,000.
Адресе е-поште и лозинке су могле дозволити хакерима да се маскирају као овлашћени корисници на веб локацијама корисничке службе, наводи Ресецурити. Безбедносна фирма је открила кеш меморије података у септембру 2021. и рекла да је такође пронашла доказе да су их хакери користили за приступ налозима ГДС и СТТ ГДЦ клијената недавно у јануару, када су оба оператера дата центра натерала клијента да ресетује лозинку, наводи Ресецурити.
Чак и без важећих лозинки, подаци би и даље били драгоцени – омогућавајући хакерима да креирају циљане пхисхинг мејлове против људи са високим приступом мрежама својих компанија, наводи Ресецурити.
Већина погођених компанија које је Блоомберг Невс контактирао, укључујући Алибабу, Амазон, Хуавеи и Валмарт, одбили су да коментаришу. Аппле није одговорио на поруке које су тражиле коментар.
У саопштењу, Мицрософт је рекао: „Ми редовно пратимо претње које би могле да утичу на Мицрософт и када се идентификују потенцијалне претње, предузимамо одговарајуће мере да заштитимо Мицрософт и наше клијенте. Портпарол Голдман Сакса је рекао: „Поставили смо додатне контроле за заштиту од ове врсте кршења и задовољни смо што наши подаци нису били угрожени.
Произвођач аутомобила БМВ рекао је да је свестан проблема. Али портпарол компаније је рекао: „Након процене, проблем има веома ограничен утицај на БМВ компаније и није нанео никакву штету БМВ купцима и информацијама у вези са производима. Портпарол је додао: „БМВ је позвао ГДС да побољша ниво безбедности информација.
ГДС и СТТ ГДЦ су два највећа азијска провајдера услуга „колокације“. Они се понашају као власници, изнајмљују простор у својим дата центрима клијентима који тамо инсталирају и управљају својом ИТ опремом, обично да би били ближе клијентима и пословним операцијама у Азији. ГДС је међу три најбоља провајдера колокације у Кини, другом највећем тржишту услуга на свету после САД, према Синерги Ресеарцх Гроуп Инц. Сингапур је на шестом месту.
Компаније су такође испреплетене: корпоративна документација показује да је 2014. Сингапоре Тецхнологиес Телемедиа Пте, матична компанија СТТ ГДЦ, стекла 40% удела у ГДС-у.
Извршни директор за безбедност Џин Ју рекао је да је његова фирма открила инциденте 2021. године након што је један од њених оперативаца тајно отишао да се инфилтрирао у хакерску групу у Кини која је напала мете владе на Тајвану.
Убрзо након тога, упозорио је ГДС и СТТ ГДЦ и мали број Ресецурити клијената који су били погођени, према Иоо-у и документима.
Ресецурити је поново обавестила ГДС и СТТ ГДЦ у јануару након што је открила да хакери приступају налозима, а безбедносна фирма је такође упозорила власти у Кини и Сингапуру у то време, према Иоо-у и документима.
Оба оператера дата центара рекли су да су брзо реаговали када су обавештени о безбедносним проблемима и да су започели интерне истраге.
Шерил Ли, портпарол Сингапурске агенције за сајбер безбедност, рекла је да је агенција „свесна инцидента и помаже СТ Телемедији по овом питању“. Кинески технички тим за хитне случајеве националне компјутерске мреже/координациони центар, невладина организација која се бави одговором на сајбер хитне случајеве, није одговорила на поруке у којима се тражи коментар.
ГДС је признао да је проваљен веб-сајт за корисничку подршку и рекао да је истражио и поправио рањивост на сајту 2021.
„Апликација која је била на мети хакера је ограничена по обиму и информацијама на некритичне функције услуге, као што су захтеви за издавање карата, заказивање физичке испоруке опреме и преглед извештаја о одржавању“, наводи се у саопштењу компаније. „Захтеви упућени путем апликације обично захтевају праћење и потврду ван мреже. С обзиром на основну природу апликације, кршење није резултирало било каквом претњом ИТ операцијама наших клијената.”
СТТ ГДЦ је рекао да је довео екстерне стручњаке за сајбер безбедност када је сазнао за инцидент 2021. године. „Дотични ИТ систем је алатка за издавање карата за корисничку службу“ и „нема везе са другим корпоративним системима нити било каквом инфраструктуром критичних података“, саопштила је компанија .
Компанија је саопштила да њен портал за корисничку подршку није прекршен 2021. године и да су акредитиви које је Ресецурити добила „делимична и застарела листа корисничких акредитива за наше апликације за продају карата за клијенте. Сви такви подаци су сада неважећи и не представљају безбедносни ризик у будућности.
„Није примећен неовлашћени приступ или губитак података“, наводи се у саопштењу СТТ ГДЦ-а.
Без обзира на то како су хакери користили те информације, стручњаци за сајбер безбедност кажу да крађе показују да нападачи истражују нове начине да се инфилтрирају у тешке мете.
Физичка безбедност ИТ опреме у центрима података трећих страна и системи за контролу приступа њима представљају рањивости које одељења за корпоративну безбедност често занемарују, рекао је Малколм Харкинс, бивши шеф понуде за безбедност и приватност Интел Цорп. опрема „могла имати разорне последице“, рекао је Харкинс.
Хакери су добили адресе е-поште и лозинке за више од 3,000 људи у ГДС-у — укључујући његове запослене и оне његових клијената — и више од 1,000 од СТТ ГДЦ-а, према документима које је прегледао Блоомберг Невс.
Хакери су такође украли акредитиве за ГДС-ову мрежу од више од 30,000 камера за надзор, од којих се већина ослањала на једноставне лозинке као што су „админ“ или „админ12345“, показују документи. ГДС није поставио питање о наводној крађи акредитива за мрежу камера, нити о лозинкама.
Број акредитива за пријаву на веб локације корисничке подршке варирао је за различите клијенте. На пример, постојао је 201 налог у Алибаби, 99 у Амазону, 32 у Мицрософту, 16 у Баиду Инц., 15 у Банк оф Америца Цорп., седам у Банк оф Цхина Лтд., четири у Аппле-у и три у Голдману, према документа. Ју из Ресецурити-а је рекао да је хакерима потребна само једна важећа адреса е-поште и лозинка да би приступили налогу компаније на порталу за корисничку подршку.
Међу осталим компанијама чији су подаци за пријаву радника добијени, према Ресеццурити-у и документима, били су: Бхарти Аиртел Лтд. у Индији, Блоомберг ЛП (власник Блоомберг Невс), БитеДанце Лтд., Форд Мотор Цо., Глобе Телецом Инц. на Филипинима, Мастерцард Инц., Морган Станлеи, Паипал Холдингс Инц., Порсцхе АГ, СофтБанк Цорп., Телстра Гроуп Лтд. у Аустралији, Тенцент Холдингс Лтд., Веризон Цоммуницатионс Инц. и Веллс Фарго & Цо.
У саопштењу, Баиду је рекао: „Не верујемо да је било који податак компромитован. Баиду посвећује велику пажњу да обезбеди сигурност података наших клијената. Пажљиво ћемо пратити овакве ствари и бити упозорени на све нове претње безбедности података у било ком делу наших операција.”
Представник Порсцхе-а је рекао: „У овом конкретном случају немамо назнака да је постојао било какав ризик. Представник СофтБанка рекао је да је кинеска подружница престала да користи ГДС прошле године. „Није потврђено никакво цурење података о клијентима из локалне кинеске компаније, нити је било каквог утицаја на њено пословање и услуге“, рекао је представник.
Портпарол Телстре је рекао: „Нисмо свесни било каквог утицаја на пословање након овог кршења“, док је представник Мастерцард рекао: „Док настављамо да пратимо ову ситуацију, нисмо свесни било каквих ризика по наше пословање или утицаја на наша трансакциона мрежа или системи.”
Представник Тенцента је рекао: „Нисмо свесни било каквог утицаја на пословање након овог кршења. Ми директно управљамо нашим серверима унутар центара података, при чему оператери центара података немају приступ подацима који се чувају на Тенцент серверима. Нисмо открили никакав неовлашћени приступ нашим ИТ системима и серверима након истраге, који остају безбедни и безбедни.”
Портпарол компаније Веллс Фарго рекао је да је користио ГДС за резервну ИТ инфраструктуру до децембра 2022. „ГДС није имао приступ подацима, системима или мрежи Веллс Фарго,“ саопштила је компанија. Остале компаније су одбиле да коментаришу или нису одговориле.
Ју је рекао да је у јануару тајни оперативац његове фирме притискао хакере да покажу да ли још увек имају приступ налозима. Хакери су дали снимке екрана на којима се види како се пријављују на налоге за пет компанија и крећу до различитих страница на ГДС и СТТ ГДЦ онлајн порталима, рекао је он. Сигурност је дозволила Блоомберг Невс-у да прегледа те снимке екрана.
У ГДС-у су хакери приступили налогу за Кинески систем трговине девизама, огранку кинеске централне банке која игра кључну улогу у економији те земље, управљајући главном владином платформом за трговину девизама и дугом, према снимцима екрана и Сигурносној безбедности. Организација није одговарала на поруке.
У СТТ ГДЦ, хакери су приступили налозима за Натионал Интернет Екцханге оф Индиа, организацију која повезује интернет провајдере широм земље, и три друге са седиштем у Индији: МиЛинк Сервицес Пвт., Скимак Броадбанд Сервицес Пвт., и Логик ИнфоСецурити Пвт., снимци екрана показују.
Национална интернет размена Индије је саопштила да није упозната са инцидентом и одбила је даље коментарисање. Ниједна друга организација у Индији није одговорила на захтеве за коментар.
Упитан о тврдњи да су хакери и даље приступали налозима у јануару користећи украдене акредитиве, представник ГДС-а је рекао: „Недавно смо открили више нових напада хакера користећи старе информације о приступу налогу. Користили смо различите техничке алате да блокирамо ове нападе. До сада нисмо пронашли ниједну нову успешну провалу хакера због рањивости нашег система.
Представник ГДС-а је додао: „Као што знамо, један једини корисник није ресетовао једну од својих лозинки налога за ову апликацију која је припадала њиховом бившем запосленом. То је разлог зашто смо недавно наметнули ресетовање лозинке за све кориснике. Верујемо да је ово изолован догађај. То није резултат хакера који су пробили наш безбедносни систем.
СТТ ГДЦ је саопштио да је у јануару добио обавештење о даљим претњама порталима за корисничку подршку у „нашим регионима Индије и Тајланда“. „Наша досадашња истраживања показују да није било губитка података или утицаја на било који од ових портала за корисничку подршку“, саопштила је компанија.
Крајем јануара, након што су ГДС и СТТ ГДЦ променили корисничке лозинке, Ресецурити је уочио хакере који постављају базе података на продају на мрачном веб форуму, на енглеском и кинеском, наводи Иоо.
„ДБ-ови садрже информације о клијентима, могу се користити за пхисхинг, приступ ормарићима, праћење поруџбина и опреме, наруџбине на даљину“, наводи се у посту. „Ко може да помогне са циљаним пхисхингом?“
Најчитаније са Блоомберг Бусинессвеек -а
© КСНУМКС Блоомберг ЛП
Извор: хттпс://финанце.иахоо.цом/невс/хацкерс-сцоред-дата-центер-логинс-020028440.хтмл