(Bloomberg) — В епізоді, який підкреслює вразливість глобальних комп’ютерних мереж, хакери заволоділи обліковими даними для входу в центри обробки даних в Азії, які використовуються деякими з найбільших світових компаній, за даними дослідницької фірми з кібербезпеки. .
Найбільш читане з Bloomberg
Раніше невідомі кеші даних включають електронні адреси та паролі для веб-сайтів підтримки клієнтів двох найбільших операторів центрів обробки даних в Азії: шанхайської GDS Holdings Ltd. і сінгапурської ST Telemedia Global Data Centres, згідно з Resecurity Inc., яка надає служби кібербезпеки та розслідує хакерів. Постраждали близько 2,000 клієнтів GDS і STT GDC. За даними Resecurity, хакери ввійшли в облікові записи принаймні п’яти з них, включаючи основну китайську платформу для торгівлі іноземною валютою та боргом, а також чотири інші з Індії.
Незрозуміло, що хакери робили з іншими логінами, якщо щось робили. Інформація включала різні облікові дані для деяких найбільших компаній світу, зокрема Alibaba Group Holding Ltd., Amazon.com Inc., Apple Inc., BMW AG, Goldman Sachs Group Inc., Huawei Technologies Co., Microsoft Corp., і Walmart Inc., згідно з охоронною фірмою та сотнями сторінок документів, які переглянув Bloomberg.
Відповідаючи на запитання щодо висновків Resecurity, у заяві GDS зазначено, що веб-сайт служби підтримки клієнтів був зламаний у 2021 році. Незрозуміло, як хакери отримали дані STT GDC. Ця компанія заявила, що не знайшла доказів того, що її портал обслуговування клієнтів був скомпрометований того року. Обидві компанії заявили, що шахрайські облікові дані не становлять ризику для ІТ-систем або даних клієнтів.
Проте відділ безпеки та керівники чотирьох великих американських компаній, які постраждали, заявили, що викрадені облікові дані становлять незвичайну та серйозну небезпеку, насамперед через те, що веб-сайти підтримки клієнтів контролюють, хто має фізичний доступ до ІТ-обладнання, розміщеного в центрах обробки даних. Ті керівники, які дізналися про інциденти з Bloomberg News і підтвердили інформацію зі своїми службами безпеки, які попросили не називати їх особу, оскільки вони не були уповноважені публічно говорити про це.
Підпишіться на наш щотижневий інформаційний бюлетень із кібербезпеки Cyber Bulletin тут.
Масштаби втрати даних, про які повідомляє Resecurity, підкреслюють зростаючий ризик, з яким стикаються компанії через їхню залежність від третіх сторін, які розміщують дані та ІТ-обладнання та допомагають своїм мережам вийти на глобальні ринки. Експерти з безпеки кажуть, що ця проблема особливо гостра в Китаї, який вимагає від корпорацій партнерства з місцевими постачальниками послуг передачі даних.
«Це кошмар, який повинен статися», — сказав Майкл Генрі, колишній директор з інформації Digital Realty Trust Inc., одного з найбільших операторів центрів обробки даних у США, коли Bloomberg розповів про ці інциденти. (Ці інциденти не вплинули на Digital Realty Trust). Найгірший сценарій для будь-якого оператора центру обробки даних полягає в тому, що зловмисники якимось чином отримають фізичний доступ до серверів клієнтів і встановлять шкідливий код або додаткове обладнання, сказав Генрі. «Якщо їм вдасться досягти цього, вони можуть потенційно порушити комунікації та торгівлю у величезних масштабах».
GDS і STT GDC заявили, що не мають ознак того, що щось подібне сталося, і що це не вплинуло на їхні основні служби.
Хакери мали доступ до облікових даних для входу більше року, перш ніж опублікувати їх для продажу в темній мережі минулого місяця за 175,000 XNUMX доларів США, заявивши, що вони були приголомшені їх обсягом, повідомляє Resecurity та скріншот публікації, переглянутий Bloomberg. .
«Я використовував деякі цілі», — сказали хакери в дописі. «Але не в змозі впоратися, оскільки загальна кількість компаній перевищує 2,000».
За даними Resecurity, адреси електронної пошти та паролі могли дозволити хакерам маскуватися під авторизованих користувачів на веб-сайтах служби підтримки клієнтів. За даними Resecurity, охоронна фірма виявила кеші даних у вересні 2021 року, а також заявила, що знайшла докази того, що хакери використовували їх для доступу до облікових записів клієнтів GDS і STT GDC.
За даними Resecurity, навіть без дійсних паролів дані все одно будуть цінними, дозволяючи хакерам створювати цільові фішингові електронні листи людям, які мають доступ високого рівня до мереж їхніх компаній.
Більшість постраждалих компаній, з якими зв'язалося Bloomberg News, включаючи Alibaba, Amazon, Huawei і Walmart, відмовилися від коментарів. Apple не відповіла на повідомлення про коментарі.
У заяві Microsoft йдеться: «Ми регулярно відстежуємо загрози, які можуть вплинути на Microsoft, і коли потенційні загрози виявлені, ми вживаємо відповідних заходів для захисту Microsoft і наших клієнтів». Представник Goldman Sachs сказав: «Ми встановили додаткові засоби контролю для захисту від такого типу злому, і ми задоволені тим, що наші дані не були під загрозою».
Автовиробник BMW заявив, що знає про проблему. Але представник компанії сказав: «Після оцінки проблема має дуже обмежений вплив на бізнес BMW і не завдала шкоди клієнтам BMW та інформації, пов’язаній з продуктом». Прес-секретар додав: «BMW закликала GDS покращити рівень інформаційної безпеки».
GDS і STT GDC є двома найбільшими в Азії постачальниками послуг «colocation». Вони діють як орендодавці, орендуючи приміщення у своїх центрах обробки даних клієнтам, які встановлюють там власне ІТ-обладнання та керують ним, як правило, щоб бути ближчими до клієнтів і бізнес-операцій в Азії. За даними Synergy Research Group Inc., GDS входить до трійки провідних постачальників послуг спільного розміщення в Китаї, другому за величиною ринку послуг у світі після США. Сінгапур посідає шосте місце.
Ці компанії також пов’язані між собою: корпоративні документи показують, що в 2014 році Singapore Technologies Telemedia Pte, материнська компанія STT GDC, придбала 40% акцій GDS.
Головний виконавчий директор служби безпеки Джин Ю сказав, що його фірма виявила ці інциденти в 2021 році після того, як один із її співробітників пішов під прикриття, щоб проникнути в хакерську групу в Китаї, яка атакувала урядові цілі на Тайвані.
Незабаром після цього він попередив GDS і STT GDC, а також невелику кількість клієнтів Resecurity, які постраждали, згідно з Yoo і документами.
Служба безпеки знову повідомила GDS і STT GDC у січні після того, як виявила, що хакери отримали доступ до облікових записів, а охоронна фірма також попередила владу в Китаї та Сінгапурі, згідно з Yoo та документами.
Обидва оператори центрів обробки даних заявили, що швидко відреагували на повідомлення про проблеми з безпекою та почали внутрішні розслідування.
Шеріл Лі, речник Агентства кібербезпеки Сінгапуру, сказала, що агентство «знає про інцидент і допомагає ST Telemedia у цьому питанні». Національна технічна група реагування на надзвичайні ситуації комп’ютерної мережі/Координаційний центр Китаю, неурядова організація, яка займається реагуванням на надзвичайні ситуації в кіберпространстві, не відповіла на повідомлення з проханням прокоментувати.
GDS визнала, що веб-сайт служби підтримки клієнтів була зламана, і заявила, що дослідила та виправила вразливість на сайті в 2021 році.
«Додаток, який став мішенню хакерів, має обмежений обсяг і інформацію для некритичних функцій обслуговування, таких як надсилання запитів на продаж квитків, планування фізичної доставки обладнання та перегляд звітів про технічне обслуговування», — йдеться в заяві компанії. «Запити, зроблені через додаток, зазвичай потребують офлайн-контролю та підтвердження. Враховуючи базову природу програми, порушення не призвело до жодної загрози ІТ-операціям наших клієнтів».
STT GDC заявила, що залучила зовнішніх експертів з кібербезпеки, коли дізналася про інцидент у 2021 році. «ІТ-система, про яку йде мова, є інструментом продажу квитків для обслуговування клієнтів» і «не має зв’язку з іншими корпоративними системами чи будь-якою критичною інфраструктурою даних», — заявила компанія. .
Компанія заявила, що її портал обслуговування клієнтів не було зламано у 2021 році, і що облікові дані, отримані Resecurity, є «частковим і застарілим списком облікових даних користувачів для наших програм продажу квитків клієнтів. Будь-які такі дані тепер недійсні та не становлять загрози безпеці в майбутньому».
«Жодного несанкціонованого доступу або втрати даних не спостерігалося», — йдеться в заяві STT GDC.
Незалежно від того, як хакери могли використати інформацію, експерти з кібербезпеки сказали, що крадіжки свідчать про те, що зловмисники досліджують нові способи проникнення в жорсткі цілі.
Фізична безпека ІТ-обладнання в сторонніх центрах обробки даних і системи контролю доступу до нього є вразливими місцями, які часто не помічаються відділами корпоративної безпеки, сказав Малкольм Харкінс, колишній керівник відділу безпеки та конфіденційності Intel Corp. Будь-яке втручання в центр обробки даних обладнання «може мати руйнівні наслідки», сказав Харкінс.
Хакери отримали адреси електронної пошти та паролі для понад 3,000 людей у GDS — у тому числі її власних співробітників і клієнтів — і понад 1,000 від STT GDC, згідно з документами, розглянутими Bloomberg News.
Хакери також викрали облікові дані для мережі GDS із понад 30,000 12345 камер спостереження, більшість із яких покладалися на прості паролі, такі як «admin» або «adminXNUMX», — свідчать документи. GDS не зверталася з питанням про ймовірну крадіжку облікових даних до мережі камери або про паролі.
Кількість облікових даних для входу на веб-сайти підтримки клієнтів різна для різних клієнтів. Наприклад, згідно з даними, у Alibaba було 201 обліковий запис, 99 в Amazon, 32 у Microsoft, 16 у Baidu Inc., 15 у Bank of America Corp., сім у Bank of China Ltd., чотири в Apple і три в Goldman. документи. Ю з Resecurity сказав, що хакерам потрібна лише одна дійсна адреса електронної пошти та пароль для доступу до облікового запису компанії на порталі обслуговування клієнтів.
Серед інших компаній, дані для входу працівників яких було отримано, згідно з Resecurity та документами, були: Bharti Airtel Ltd. в Індії, Bloomberg LP (власник Bloomberg News), ByteDance Ltd., Ford Motor Co., Globe Telecom Inc. .на Філіппінах, Mastercard Inc., Morgan Stanley, Paypal Holdings Inc., Porsche AG, SoftBank Corp., Telstra Group Ltd. в Австралії, Tencent Holdings Ltd., Verizon Communications Inc. і Wells Fargo & Co.
У своїй заяві Baidu сказав: «Ми не вважаємо, що будь-які дані були скомпрометовані. Baidu приділяє велику увагу забезпеченню безпеки даних наших клієнтів. Ми будемо уважно стежити за такими питаннями та бути напоготові щодо будь-яких нових загроз безпеці даних у будь-якій частині нашої діяльності».
Представник Porsche сказав: «У цьому конкретному випадку у нас немає ознак того, що був якийсь ризик». Представник SoftBank сказав, що китайська дочірня компанія припинила використовувати GDS минулого року. «Жодного витоку даних про клієнта з місцевої китайської компанії не було підтверджено, а також не було жодного впливу на її бізнес і послуги», — сказав представник.
Представник Telstra сказав: «Ми не знаємо про будь-який вплив на бізнес після цього порушення», а представник Mastercard сказав: «Хоч ми продовжуємо стежити за цією ситуацією, ми не знаємо про будь-які ризики для нашого бізнесу або вплив на нашої транзакційної мережі чи систем».
Представник Tencent сказав: «Ми не знаємо про будь-який вплив на бізнес після цього порушення. Ми безпосередньо керуємо нашими серверами в центрах обробки даних, при цьому оператори центрів обробки даних не мають доступу до жодних даних, що зберігаються на серверах Tencent. Після розслідування ми не виявили жодного несанкціонованого доступу до наших ІТ-систем і серверів, які залишаються безпечними».
Представник Wells Fargo сказав, що компанія використовувала GDS для резервної ІТ-інфраструктури до грудня 2022 року. «GDS не мала доступу до даних, систем або мережі Wells Fargo», — заявили в компанії. Всі інші компанії відмовилися від коментарів або не відповіли.
Ю з Resecurity сказав, що в січні агент під прикриттям його фірми вимагав від хакерів продемонструвати, чи вони все ще мають доступ до облікових записів. За його словами, хакери надали скріншоти, на яких видно, як вони входять в облікові записи п’яти компаній і переходять на різні сторінки онлайн-порталів GDS і STT GDC. Служба безпеки дозволила Bloomberg News переглянути ці скріншоти.
У GDS хакери отримали доступ до облікового запису China Foreign Exchange Trade System, підрозділу центрального банку Китаю, який відіграє ключову роль в економіці цієї країни, керуючи головною державною платформою для торгівлі іноземною валютою та боргом, згідно зі знімками екрана та Resecurity. Організація не відповіла на повідомлення.
У STT GDC хакери отримали доступ до облікових записів National Internet Exchange of India, організації, яка об’єднує інтернет-провайдерів по всій країні, і трьох інших, розташованих в Індії: MyLink Services Pvt., Skymax Broadband Services Pvt. і Logix InfoSecurity Pvt. скріншоти показують.
Національна біржа Інтернету Індії заявила Bloomberg, що не знала про цей інцидент, і відмовилася від подальших коментарів. Жодна з інших організацій в Індії не відповіла на запит про коментарі.
Відповідаючи на запитання про те, що в січні хакери все ще отримували доступ до облікових записів, використовуючи вкрадені облікові дані, представник GDS сказав: «Нещодавно ми виявили кілька нових атак хакерів, які використовували стару інформацію про доступ до облікового запису. Ми використовували різні технічні інструменти для блокування цих атак. Наразі ми не виявили жодного нового успішного злому від хакерів через вразливість нашої системи».
Представник GDS додав: «Як нам відомо, один клієнт не скинув один із паролів свого облікового запису до цієї програми, яка належала їхньому колишньому співробітнику. Ось чому ми нещодавно примусово скинули пароль для всіх користувачів. Ми вважаємо, що це поодинока подія. Це не результат того, що хакери зламали нашу систему безпеки».
STT GDC повідомила, що в січні отримала повідомлення про подальші загрози порталам обслуговування клієнтів у «наших регіонах Індії та Таїланду». «Наші розслідування на сьогоднішній день показують, що не було жодної втрати даних або впливу на жоден із цих порталів обслуговування клієнтів», — заявили в компанії.
Наприкінці січня, після того як GDS і STT GDC змінили паролі клієнтів, Resecurity помітила, як хакери розмістили бази даних для продажу на темному веб-форумі англійською та китайською мовами, повідомляє Yoo.
«БД містять інформацію про клієнтів, можуть використовуватися для фішингу, доступу до кабінетів, моніторингу замовлень і обладнання, дистанційних замовлень», — йдеться в повідомленні. «Хто може допомогти з цільовим фішингом?»
Найбільш читане з Bloomberg Businessweek
© 2023 Bloomberg LP
Джерело: https://finance.yahoo.com/news/hackers-scored-data-center-logins-020028440.html