Эксперты говорят, что такие учетные данные в чужих руках могут быть опасны, поскольку потенциально могут открыть физический доступ к центрам обработки данных. Пострадавшие операторы центров обработки данных заявляют, что украденная информация не представляла опасности для ИТ-систем клиентов.
В эпизоде, который подчеркивает уязвимость глобальных компьютерных сетей, хакеры получили учетные данные для входа в центры обработки данных в Азии, используемые некоторыми из крупнейших мировых компаний, что, по данным исследовательской фирмы по кибербезопасности, является потенциальной добычей для шпионажа или саботажа.
Кэш данных, о котором ранее не сообщалось, включает адреса электронной почты и пароли для веб-сайтов поддержки клиентов для двух крупнейших операторов центров обработки данных в Азии: шанхайской GDS Holdings Ltd. и сингапурской ST Telemedia Global Data Centers, по данным Resecurity Inc., которая предоставляет службы кибербезопасности и расследует действия хакеров. Пострадали около 2000 клиентов GDS и STT GDC. Хакеры взломали учетные записи как минимум пяти из них, в том числе основной китайской платформы по обмену иностранной валюты и долговым обязательствам, а также четырех других из Индии, сообщает Resecurity, которая заявила, что проникла в хакерскую группу.
Неясно, что — если вообще делали — хакеры сделали с другими логинами. Информация включала учетные данные в различных количествах для некоторых крупнейших мировых компаний, включая Alibaba Group Holding Ltd., Amazon.com Inc., Apple Inc., BMW AG, Goldman Sachs Group Inc., Huawei Technologies Co., Microsoft Corp., и Walmart Inc., согласно охранной фирме и сотням страниц документов, которые рассмотрел Bloomberg.
Отвечая на вопросы о выводах Resecurity, в заявлении GDS говорится, что в 2021 году был взломан веб-сайт службы поддержки клиентов. Неясно, как хакеры получили данные STT GDC. Эта компания заявила, что не нашла доказательств того, что ее портал обслуживания клиентов был скомпрометирован в том году. Обе компании заявили, что мошеннические учетные данные не представляют опасности для ИТ-систем или данных клиентов.
Тем не менее, Resecurity и руководители четырех крупных американских компаний, которые пострадали, заявили, что украденные учетные данные представляют собой необычную и серьезную опасность, в первую очередь потому, что веб-сайты поддержки клиентов контролируют, кому разрешен физический доступ к ИТ-оборудованию, размещенному в центрах обработки данных. Те руководители, которые узнали об инцидентах из Bloomberg News и подтвердили информацию со своими службами безопасности, просили не называть их имен, потому что они не уполномочены публично говорить об этом.
Масштабы потери данных, о которых сообщает Resecurity, подчеркивают растущий риск, с которым сталкиваются компании из-за их зависимости от третьих сторон в хранении данных и ИТ-оборудования, и помощи их сетям в выходе на глобальные рынки. Эксперты по безопасности говорят, что проблема стоит особенно остро в Китае, где корпорации должны сотрудничать с местными поставщиками услуг передачи данных.
«Это кошмар, который ждет своего часа», — сказал Майкл Генри, бывший директор по информационным технологиям Digital Realty Trust Inc., одного из крупнейших операторов центров обработки данных в США, когда Bloomberg сообщил об инцидентах. (Digital Realty Trust инциденты не затронули). По словам Генри, наихудший сценарий для любого оператора центра обработки данных заключается в том, что злоумышленники каким-то образом получают физический доступ к серверам клиентов и устанавливают вредоносный код или дополнительное оборудование. «Если им удастся этого добиться, они потенциально могут нарушить связь и торговлю в огромных масштабах».
GDS и STT GDC заявили, что у них нет никаких признаков того, что что-то подобное произошло, и что их основные службы не пострадали.
Хакеры имели доступ к учетным данным более года, прежде чем выставить их на продажу в даркнете в прошлом месяце за 175 000 долларов.
«Я использовал несколько целей», — написали хакеры в посте. «Но не может справиться, так как общее количество компаний превышает 2000». По данным Resecurity, в понедельник хакеры бесплатно разместили украденные данные в даркнете.
По данным Resecurity, адреса электронной почты и пароли могли позволить хакерам маскироваться под авторизованных пользователей на веб-сайтах обслуживания клиентов. По данным Resecurity, охранная фирма обнаружила кэши данных в сентябре 2021 года и заявила, что также обнаружила доказательства того, что хакеры использовали их для доступа к учетным записям клиентов GDS и STT GDC еще в январе, когда оба оператора центров обработки данных принудительно сбрасывали пароли клиентов.
По данным Resecurity, даже без действительных паролей данные все равно будут ценными, что позволит хакерам создавать целевые фишинговые электронные письма против людей с высокоуровневым доступом к сетям их компаний.
Большинство пострадавших компаний, с которыми связалось Bloomberg News, включая Alibaba, Huawei и Walmart, отказались от комментариев. Apple не ответила на сообщения с просьбой прокомментировать.
В заявлении Microsoft говорится: «Мы регулярно отслеживаем угрозы, которые могут повлиять на Microsoft, и при выявлении потенциальных угроз мы предпринимаем соответствующие действия для защиты Microsoft и наших клиентов». Представитель Goldman Sachs сказал: «У нас есть дополнительные средства защиты от такого рода нарушений, и мы удовлетворены тем, что наши данные не подвергались риску».
Представитель Amazon Web Services сказал: «Мы можем подтвердить, что мы провели расследование, и это не повлияет на безопасность наших систем, сервисов или клиентов».
Автопроизводитель BMW заявил, что знает об этой проблеме. Но представитель компании сказал: «После оценки проблема имеет очень ограниченное влияние на бизнес BMW и не нанесла ущерба клиентам BMW и информации, связанной с продуктом». Представитель добавил: «BMW призвал GDS повысить уровень информационной безопасности».
GDS и STT GDC — два крупнейших поставщика услуг «колокейшн» в Азии. Они действуют как арендодатели, сдавая помещения в своих центрах обработки данных клиентам, которые устанавливают там собственное ИТ-оборудование и управляют им, как правило, чтобы быть ближе к клиентам и бизнес-операциям в Азии. По данным Synergy Research Group Inc., GDS входит в тройку ведущих поставщиков услуг колокации в Китае, втором по величине рынке услуг в мире после США. Сингапур занимает шестое место.
Компании также взаимосвязаны: корпоративная документация показывает, что в 2014 году Singapore Technologies Telemedia Pte, материнская компания STT GDC, приобрела 40% акций GDS.
Главный исполнительный директор Resecurity Джин Ю сказал, что его фирма раскрыла инциденты в 2021 году после того, как один из ее сотрудников работал под прикрытием, чтобы внедриться в хакерскую группу в Китае, которая атаковала правительственные объекты на Тайване.
Вскоре после этого он предупредил GDS и STT GDC, а также небольшое количество затронутых клиентов Resecurity, согласно Ю и документам.
Resecurity снова уведомила GDS и STT GDC в январе после того, как обнаружила, что хакеры получают доступ к учетным записям, и в то же время охранная фирма уведомила власти Китая и Сингапура, согласно Ю и документам.
Оба оператора центров обработки данных заявили, что оперативно отреагировали на сообщения о проблемах безопасности и начали внутренние расследования.
Шерил Ли, представитель Агентства кибербезопасности Сингапура, заявила, что агентство «знает об инциденте и помогает ST Telemedia в этом вопросе». Техническая группа/координационный центр национальной компьютерной сети Китая по реагированию на чрезвычайные ситуации , неправительственная организация, занимающаяся реагированием на чрезвычайные ситуации в киберпространстве, не ответила на сообщения с просьбой прокомментировать ситуацию.
GDS признала, что веб-сайт поддержки клиентов был взломан, и заявила, что в 2021 году она исследовала и устранила уязвимость на сайте.
«Приложение, на которое нацелились хакеры, ограничено по объему и информации некритическими сервисными функциями, такими как отправка запросов на билеты, планирование физической доставки оборудования и просмотр отчетов о техническом обслуживании», — говорится в заявлении компании. «Запросы, сделанные через приложение, обычно требуют автономных последующих действий и подтверждения. Учитывая основной характер приложения, взлом не привел к какой-либо угрозе для ИТ-операций наших клиентов».
STT GDC заявила, что привлекла внешних экспертов по кибербезопасности, когда узнала об инциденте в 2021 году. «Рассматриваемая ИТ-система представляет собой инструмент для обслуживания клиентов» и «не имеет связи с другими корпоративными системами или какой-либо критически важной инфраструктурой данных», — говорится в сообщении компании.
Компания заявила, что ее портал обслуживания клиентов не был взломан в 2021 году и что учетные данные, полученные Resecurity, представляют собой «неполный и устаревший список учетных данных пользователей для наших приложений для продажи билетов клиентов». Любые такие данные теперь недействительны и не представляют угрозы безопасности в будущем».
«Несанкционированного доступа или потери данных не наблюдалось», — говорится в заявлении STT GDC.
Согласно сообщению в блоге компании, Resecurity пока не может приписать атаки известной хакерской группе. Охранная фирма заявила, что хакеры, вероятно, выставили информацию на продажу, когда операторы центра обработки данных принудительно сбросили пароль, что сделало ее менее ценной. Другая возможность заключается в том, что хакеры имитировали преступников, заявила Resecurity, добавив в своем блоге, что «подобная тактика часто используется государственными субъектами для маскировки своей деятельности, как правило, для того чтобы скрыть мотив атаки». Независимо от того, как хакеры могли использовать информацию, эксперты по кибербезопасности говорят, что кражи показывают, что злоумышленники изучают новые способы проникновения в сложные цели.
«Физическая безопасность ИТ-оборудования в сторонних центрах обработки данных и системы контроля доступа к нему представляют собой уязвимости, которые часто упускаются из виду отделами корпоративной безопасности», — сказал Малкольм Харкинс, бывший руководитель отдела безопасности и конфиденциальности Intel Corp. оборудование «может иметь разрушительные последствия», — сказал Харкинс.
Уникальный тип украденной информации предполагает операцию с потенциальными преступными и шпионскими мотивами, сказал Мэйси Деннис, партнер фирмы Ember River LLC, занимающейся обороной и кибербезопасностью.
«Это не просто разгром и захват информации для получения финансовой выгоды», — сказал он.
Согласно документам, проанализированным Bloomberg News, хакеры получили полные адреса электронной почты и пароли более чем 3000 человек в GDS, включая ее собственных сотрудников и клиентов, и более 1000 человек из STT GDC. Пароли были хешированы или зашифрованы в целях безопасности, но документы, предоставленные Resecurity, показывают, что фирма смогла легко расшифровать их с помощью широкодоступных инструментов.
Хакеры также украли учетные данные для сети GDS из более чем 30 000 камер наблюдения, большинство из которых полагались на простые пароли, такие как «admin» или «admin12345», как показывают документы. GDS не ответила на вопрос о предполагаемой краже учетных данных в сети камер или о паролях.
Количество учетных данных для входа на веб-сайты поддержки клиентов варьировалось для разных клиентов. Например, в Alibaba был 201 счет, в Amazon — 99, в Microsoft — 32, в Baidu Inc. — 16, в Bank of America — 15 , в Bank of China Ltd — семь , в Apple — четыре, в Goldman — три. документы. Ю из Resecurity сказал, что хакерам нужен только один действующий адрес электронной почты и пароль для доступа к учетной записи компании на портале обслуживания клиентов.
Среди других компаний, чьи данные для входа в систему были получены, согласно Resecurity и документам, были: Bharti Airtel Ltd. в Индии, Bloomberg LP (владелец Bloomberg News), ByteDance Ltd., Ford Motor Co. , Globe Telecom Inc. на Филиппинах Mastercard Inc., Morgan Stanley, Paypal Holdings Inc., Porsche AG, SoftBank Corp., Telstra Group Ltd. в Австралии, Tencent Holdings Ltd., Verizon Communications Inc. и Wells Fargo & Co.
В заявлении Baidu говорится: «Мы не считаем, что какие-либо данные были скомпрометированы. Baidu уделяет большое внимание обеспечению безопасности данных наших клиентов. Мы будем внимательно следить за такими вопросами и оставаться начеку в отношении любых возникающих угроз безопасности данных в любой части нашей деятельности».
Представитель Porsche сказал: «В данном конкретном случае у нас нет никаких признаков того, что существовал какой-либо риск». Представитель SoftBank сказал, что китайская дочерняя компания прекратила использование GDS в прошлом году. «Утечки информации о клиентах из местной китайской компании не было подтверждено, и это не повлияло на ее бизнес и услуги», — сказал представитель.
Представитель Telstra сказал: «Нам неизвестно о каком-либо влиянии этого нарушения на бизнес», а представитель Mastercard сказал: «Хотя мы продолжаем следить за этой ситуацией, мы не знаем о каких-либо рисках для нашего бизнеса или влиянии на нашу транзакционную сеть или системы».
Представитель Tencent сказал: «Нам неизвестно о каком-либо влиянии этого нарушения на бизнес. Мы управляем нашими серверами непосредственно в центрах обработки данных, при этом операторы центров обработки данных не имеют доступа к каким-либо данным, хранящимся на серверах Tencent. После расследования мы не обнаружили несанкционированного доступа к нашим ИТ-системам и серверам, которые остаются в безопасности».
Представитель Wells Fargo заявил, что до декабря 2022 года компания использовала GDS для резервного копирования ИТ-инфраструктуры. «У GDS не было доступа к данным, системам или сети Wells Fargo», — заявили в компании. Все остальные компании отказались от комментариев или не ответили.
Ю из Resecurity сказал, что в январе агент его фирмы под прикрытием потребовал от хакеров демонстрации того, есть ли у них доступ к учетным записям. По его словам, хакеры предоставили скриншоты, показывающие, как они входят в учетные записи пяти компаний и переходят на разные страницы онлайн-порталов GDS и STT GDC. Служба безопасности позволила Bloomberg News просмотреть эти скриншоты.
В GDS хакеры получили доступ к учетной записи Китайской системы торговли иностранной валютой, подразделения центрального банка Китая, которое играет ключевую роль в экономике этой страны, управляя основной правительственной платформой для торговли иностранной валютой и долговыми обязательствами, согласно скриншотам и Resecurity. Организация не ответила на сообщения.
В STT GDC хакеры получили доступ к учетным записям Национальной интернет-биржи Индии, организации, которая соединяет интернет-провайдеров по всей стране, и трех других организаций, базирующихся в Индии: MyLink Services Pvt., Skymax Broadband Services Pvt. и Logix InfoSecurity Pvt. скриншоты показывают.
Как сообщает Bloomberg, национальная интернет-биржа Индии заявила, что не знает об этом инциденте, и отказалась от дальнейших комментариев. Ни одна из других организаций в Индии не ответила на запросы о комментариях.
Отвечая на вопрос об утверждении о том, что хакеры все еще получали доступ к учетным записям в январе, используя украденные учетные данные, представитель GDS сказал: «Недавно мы обнаружили несколько новых атак со стороны хакеров с использованием старой информации доступа к учетной записи. Мы использовали различные технические средства для блокировки этих атак. Пока что мы не обнаружили ни одного нового успешного взлома от хакеров, что связано с уязвимостью нашей системы».
Представитель GDS добавил: «Насколько нам известно, один клиент не сбросил один из паролей своей учетной записи в этом приложении, которое принадлежало их бывшему сотруднику. Именно по этой причине мы недавно принудительно сбросили пароль для всех пользователей. Мы считаем, что это единичный случай. Это не результат того, что хакеры взломали нашу систему безопасности».
STT GDC заявила, что в январе получила уведомление о новых угрозах порталам обслуживания клиентов в «наших регионах Индии и Таиланда». «Наши расследования на сегодняшний день показывают, что не было потери данных или воздействия на любой из этих порталов обслуживания клиентов», — заявили в компании.
По словам Ю, в конце января, после того как GDS и STT GDC сменили пароли клиентов, Resecurity заметила, что хакеры размещали базы данных для продажи на форуме даркнета на английском и китайском языках.
«БД содержат информацию о клиентах, могут использоваться для фишинга, доступа к шкафам, мониторинга заказов и оборудования, удаленных ручных заказов», — говорится в сообщении. «Кто может помочь с целевым фишингом?»
Автор: Джордан Робертсон (Jordan Robertson)
Источник: Bloomberg
