Aa Aa Aa

Хакери почали продавати логіни центрів обробки даних деяких світових корпорацій

Дмитро Сизов
Хакери почали продавати логіни центрів обробки даних деяких світових корпорацій

В епізоді, який підкреслює вразливість глобальних комп’ютерних мереж, хакери заволоділи обліковими даними для входу в центри обробки даних в Азії, які використовуються деякими з найбільших світових компаній, за даними дослідницької компанії з кібербезпеки.

Раніше невідомі кеші даних включають електронні адреси та паролі для веб-сайтів підтримки клієнтів двох найбільших операторів центрів обробки даних в Азії: шанхайської GDS Holdings Ltd.  і сінгапурської ST Telemedia Global Data Centers , згідно з Resecurity Inc. , яка надає служби кібербезпеки та розслідує хакерів. Постраждали близько 2000 клієнтів GDS і STT GDC. За даними Resecurity, хакери ввійшли в облікові записи принаймні п’яти з них, включаючи основну китайську платформу для торгівлі іноземною валютою та боргом, а також чотири інші з Індії.  

Незрозуміло, що хакери робили з іншими логінами, якщо щось робили. Інформація включала різні облікові дані для деяких найбільших компаній світу, зокрема  Alibaba Group Holding Ltd. , Amazon.com Inc. , Apple Inc. , BMW AG ,  Goldman Sachs Group Inc. , Huawei Technologies Co. , Microsoft Corp.  , і Walmart Inc. , згідно з охоронною фірмою та сотнями сторінок документів, які переглянув Bloomberg.

Відповідаючи на запитання щодо висновків Resecurity, GDS у своїй заяві заявила, що веб-сайт служби підтримки клієнтів був зламаний у 2021 році. Незрозуміло, як хакери отримали дані STT GDC. Ця компанія заявила, що не знайшла доказів того, що її портал обслуговування клієнтів був скомпрометований того року. Обидві компанії заявили, що шахрайські облікові дані не становлять ризику для ІТ-систем або даних клієнтів .

Однак відділ безпеки та керівники чотирьох великих американських компаній, які постраждали, заявили, що викрадені облікові дані становлять незвичайну та серйозну небезпеку, насамперед через те, що веб-сайти підтримки клієнтів контролюють, хто має фізичний доступ до ІТ-обладнання, розміщеного в центрах обробки даних. Ті керівники, які дізналися про інциденти з Bloomberg News і підтвердили інформацію зі своїми службами безпеки, які попросили не називати їх особу, оскільки вони не були уповноважені публічно говорити про це.

Масштаби втрати даних, про які повідомляє Resecurity, підкреслюють зростаючий ризик, з яким стикаються компанії через їхню залежність від третіх сторін, які розміщують дані та ІТ-обладнання та допомагають своїм мережам вийти на глобальні ринки. Експерти з безпеки кажуть, що ця проблема особливо гостра в Китаї, який вимагає від корпорацій партнерства з місцевими постачальниками послуг передачі даних.

«Це кошмар, який повинен статися», — сказав Майкл Генрі, колишній директор з інформації Digital Realty Trust Inc. , одного з найбільших операторів центрів обробки даних у США, коли Bloomberg розповів про ці інциденти. (Ці інциденти не вплинули на Digital Realty Trust). Найгірший сценарій для будь-якого оператора центру обробки даних полягає в тому, що зловмисники якимось чином отримають фізичний доступ до серверів клієнтів і встановлять шкідливий код або додаткове обладнання, сказав Генрі. «Якщо їм вдасться досягти цього, вони можуть потенційно порушити комунікації та торгівлю у величезних масштабах».

GDS і STT GDC заявили, що не мають ознак того, що щось подібне сталося, і що це не вплинуло на їхні основні служби. 

Вежа Століття
Centennial Tower в Сінгапурі, де розташована штаб-квартира ST Telemedia Global Data Centers.
Google

Хакери мали доступ до облікових даних для входу більше року, перш ніж опублікувати їх для продажу в темній мережі минулого місяця за 175 000 доларів США, заявивши, що вони були приголомшені їх обсягом, повідомляє Resecurity та скріншот публікації, переглянутий Bloomberg. . 

«Я використовував деякі цілі», — сказали хакери в дописі. «Але не в змозі впоратися, оскільки загальна кількість компаній перевищує 2000».

За даними Resecurity, адреси електронної пошти та паролі могли дозволити хакерам маскуватися під авторизованих користувачів на веб-сайтах служби підтримки клієнтів. За даними Resecurity, охоронна фірма виявила кеші даних у вересні 2021 року, а також заявила, що знайшла докази того, що хакери використовували їх для доступу до облікових записів клієнтів GDS і STT GDC.

За даними Resecurity, навіть без дійсних паролів дані все одно будуть цінними, дозволяючи хакерам створювати цільові фішингові електронні листи людям, які мають доступ високого рівня до мереж їхніх компаній.

Більшість постраждалих компаній, з якими зв'язалося Bloomberg News, включаючи Alibaba, Amazon, Huawei і Walmart, відмовилися від коментарів. Apple не відповіла на повідомлення про коментарі.

У заяві Microsoft йдеться: «Ми регулярно відстежуємо загрози, які можуть вплинути на Microsoft, і коли потенційні загрози виявлені, ми вживаємо відповідних заходів для захисту Microsoft і наших клієнтів». Представник Goldman Sachs сказав: «Ми встановили додаткові засоби контролю для захисту від такого типу злому, і ми задоволені тим, що наші дані не були під загрозою».

Автовиробник BMW заявив, що знає про проблему. Але представник компанії сказав: «Після оцінки проблема має дуже обмежений вплив на бізнес BMW і не завдала шкоди клієнтам BMW та інформації, пов’язаній з продуктом». Прес-секретар додав: «BMW закликала GDS покращити рівень інформаційної безпеки».

GDS і STT GDC є двома найбільшими в Азії постачальниками послуг «colocation». Вони діють як орендодавці, орендуючи простір у своїх центрах обробки даних клієнтам, які встановлюють там своє ІТ-обладнання та керують ним, як правило, щоб бути ближчими до клієнтів і бізнес-операцій в Азії. За даними Synergy Research Group Inc., GDS входить до трійки провідних постачальників послуг спільного розміщення в Китаї, другому за величиною ринку послуг у світі після США. Сінгапур посідає шосте місце.

Ці компанії також пов’язані між собою: корпоративні документи показують, що в 2014 році Singapore Technologies Telemedia Pte , материнська компанія STT GDC, придбала 40% акцій GDS. 

Головний виконавчий директор служби безпеки Джин Ю сказав, що його фірма виявила ці інциденти в 2021 році після того, як один із її співробітників пішов під прикриття, щоб проникнути в хакерську групу в Китаї, яка атакувала урядові цілі на Тайвані. 

Незабаром після цього він попередив GDS і STT GDC, а також невелику кількість клієнтів Resecurity, які постраждали, згідно з Yoo і документами.

Служба безпеки знову повідомила GDS і STT GDC у січні після того, як виявила, що хакери отримали доступ до облікових записів, і охоронна фірма також попередила владу в Китаї та Сінгапурі, згідно з Yoo та документами.

Обидва оператори центрів обробки даних заявили, що швидко відреагували на повідомлення про проблеми з безпекою та почали внутрішні розслідування.

Шеріл Лі, речник Агентства кібербезпеки Сінгапуру , сказала, що агентство «знає про інцидент і допомагає ST Telemedia у цьому питанні». Національна технічна група реагування на надзвичайні ситуації комп’ютерної мережі/Координаційний центр Китаю , неурядова організація, яка займається реагуванням на надзвичайні ситуації в кібернетичному просторі, не відповіла на повідомлення з проханням про коментарі.

GDS визнала, що веб-сайт служби підтримки клієнтів була зламана, і заявила, що дослідила та виправила вразливість на сайті в 2021 році.

«Додаток, який став мішенню хакерів, має обмежений обсяг і інформацію для некритичних функцій обслуговування, таких як надсилання запитів на продаж квитків, планування фізичної доставки обладнання та перегляд звітів про технічне обслуговування», — йдеться в заяві компанії. «Запити, зроблені через додаток, зазвичай потребують офлайн-контролю та підтвердження. Враховуючи базову природу програми, порушення не призвело до жодної загрози ІТ-операціям наших клієнтів».