(Bloomberg) – V epizóde, ktorá zdôrazňuje zraniteľnosť globálnych počítačových sietí, získali hackeri prihlasovacie údaje do dátových centier v Ázii, ktoré používajú niektoré z najväčších svetových firiem, čo je podľa výskumnej firmy v oblasti kybernetickej bezpečnosti potenciálny bonus za špionáž alebo sabotáž. .
Najčítanejšie z Bloombergu
Predtým nenahlásené vyrovnávacie pamäte zahŕňajú e-maily a heslá pre webové stránky zákazníckej podpory dvoch najväčších operátorov dátových centier v Ázii: GDS Holdings Ltd. so sídlom v Šanghaji a ST Telemedia Global Data Centres so sídlom v Singapure, podľa Resecurity Inc., ktorá poskytuje kybernetickej bezpečnosti a vyšetruje hackerov. Postihnutých bolo približne 2,000 XNUMX zákazníkov GDS a STT GDC. Hackeri sa prihlásili do účtov najmenej piatich z nich, vrátane hlavnej čínskej platformy na obchodovanie s devízami a dlhmi a štyroch ďalších z Indie, podľa Resecurity, ktorá uviedla, že infiltrovala hackerskú skupinu.
Nie je jasné, čo – ak vôbec niečo – hackeri urobili s ostatnými prihláseniami. Informácie obsahovali poverenia v rôznom počte pre niektoré z najväčších svetových spoločností vrátane Alibaba Group Holding Ltd., Amazon.com Inc., Apple Inc., BMW AG, Goldman Sachs Group Inc., Huawei Technologies Co., Microsoft Corp., a Walmart Inc., podľa bezpečnostnej firmy a stoviek strán dokumentov, ktoré Bloomberg preskúmal.
V odpovedi na otázky týkajúce sa zistení Resecurity GDS vo vyhlásení uviedla, že v roku 2021 bola narušená webová stránka zákazníckej podpory. Nie je jasné, ako hackeri získali údaje STT GDC. Táto spoločnosť uviedla, že nenašla žiadne dôkazy o tom, že jej portál zákazníckych služieb bol v tom roku napadnutý. Obe spoločnosti uviedli, že nečestné poverenia nepredstavujú riziko pre IT systémy alebo dáta klientov.
Resecurity a vedúci pracovníci štyroch veľkých spoločností so sídlom v USA, ktorých sa to týkalo, však uviedli, že ukradnuté poverenia predstavujú nezvyčajné a vážne nebezpečenstvo, predovšetkým preto, že webové stránky zákazníckej podpory kontrolujú, kto má povolený fyzický prístup k IT zariadeniam umiestneným v dátových centrách. Tí vedúci pracovníci, ktorí sa o incidentoch dozvedeli z Bloomberg News a potvrdili informácie svojim bezpečnostným tímom, požiadali, aby neboli identifikovaní, pretože nemali oprávnenie o tejto záležitosti verejne hovoriť.
Prihláste sa na odber nášho týždenného bulletinu o kybernetickej bezpečnosti, Cyber Bulletin, tu.
Veľkosť straty údajov, ktorú uvádza Resecurity, poukazuje na rastúce riziko, ktorému spoločnosti čelia v dôsledku ich závislosti od tretích strán pri umiestňovaní údajov a IT zariadení a pomoci ich sieťam dostať sa na globálne trhy. Bezpečnostní experti tvrdia, že problém je obzvlášť akútny v Číne, ktorá vyžaduje, aby korporácie spolupracovali s miestnymi poskytovateľmi dátových služieb.
„Toto je nočná mora, ktorá čaká na to, čo sa stane,“ povedal o incidentoch agentúre Bloomberg Michael Henry, bývalý informačný riaditeľ spoločnosti Digital Realty Trust Inc., jedného z najväčších prevádzkovateľov dátových centier v USA. (Digital Realty Trust neboli incidenty ovplyvnené). Najhorším scenárom pre každého operátora dátového centra je, že útočníci nejakým spôsobom získajú fyzický prístup k serverom klientov a nainštalujú škodlivý kód alebo ďalšie vybavenie, povedal Henry. "Ak to dokážu dosiahnuť, môžu potenciálne narušiť komunikáciu a obchod v masovom meradle."
GDS a STT GDC uviedli, že nemajú žiadne náznaky, že by sa niečo také stalo a že ich základné služby to neovplyvnilo.
Hackeri mali prístup k prihlasovacím povereniam viac ako rok predtým, ako ich minulý mesiac zverejnili na predaj na temnom webe za 175,000 XNUMX dolárov, pričom tvrdili, že boli ohromení ich objemom, podľa Resecurity a snímky obrazovky príspevku, ktorú preskúmala agentúra Bloomberg. .
"Použil som nejaké ciele," uviedli hackeri v príspevku. "Ale nie je možné to zvládnuť, pretože celkový počet spoločností je viac ako 2,000 XNUMX."
E-mailové adresy a heslá mohli hackerom umožniť, aby sa na webových stránkach služieb zákazníkom vydávali za autorizovaných používateľov, uvádza Resecurity. Bezpečnostná firma objavila dátové vyrovnávacie pamäte v septembri 2021 a uviedla, že našla aj dôkazy, že ich hackeri používali na prístup k účtom zákazníkov GDS a STT GDC ešte v januári, keď si obaja operátori dátových centier vynútili resetovanie hesla zákazníkov, uvádza Resecurity.
Aj bez platných hesiel by boli údaje stále cenné – podľa Resecurity by hackerom umožnili vytvárať cielené phishingové e-maily proti ľuďom s vysokoúrovňovým prístupom k sieťam ich spoločností.
Väčšina dotknutých spoločností, ktoré Bloomberg News kontaktovala, vrátane Alibaba, Amazon, Huawei a Walmart, odmietla komentovať. Apple nereagoval na správy žiadajúce komentár.
Spoločnosť Microsoft vo vyhlásení uviedla: „Pravidelne monitorujeme hrozby, ktoré by mohli ovplyvniť spoločnosť Microsoft, a keď sú identifikované potenciálne hrozby, podnikneme príslušné kroky na ochranu spoločnosti Microsoft a našich zákazníkov. Hovorca Goldman Sachs povedal: "Máme zavedené dodatočné kontroly na ochranu pred týmto typom narušenia a sme spokojní, že naše údaje neboli ohrozené."
Automobilka BMW uviedla, že o probléme vie. Hovorca spoločnosti však povedal: „Po posúdení má problém veľmi obmedzený vplyv na podnikanie BMW a nespôsobil žiadne škody zákazníkom BMW ani informácie súvisiace s produktom. Hovorca dodal: "BMW naliehalo na GDS, aby zlepšilo úroveň bezpečnosti informácií."
GDS a STT GDC sú dvaja z najväčších ázijských poskytovateľov „kolokačných“ služieb. Pôsobia ako prenajímatelia, prenajímajú priestory vo svojich dátových centrách klientom, ktorí si tam inštalujú a spravujú svoje vlastné IT vybavenie, zvyčajne preto, aby boli bližšie k zákazníkom a obchodným operáciám v Ázii. GDS patrí podľa Synergy Research Group Inc medzi troch najlepších poskytovateľov kolokácie v Číne, čo je druhý najväčší trh pre túto službu na svete po USA. Singapur je na šiestom mieste.
Spoločnosti sú tiež vzájomne prepojené: z firemnej prihlášky vyplýva, že v roku 2014 spoločnosť Singapore Technologies Telemedia Pte, materská spoločnosť STT GDC, získala 40 % podiel v GDS.
Generálny riaditeľ pre bezpečnosť Gene Yoo uviedol, že jeho firma odhalila incidenty v roku 2021 po tom, čo sa jeden z jej agentov tajne infiltroval do hackerskej skupiny v Číne, ktorá zaútočila na vládne ciele na Taiwane.
Čoskoro potom upozornila GDS a STT GDC a malý počet klientov Resecurity, ktorých sa to podľa Yoo a dokumentov týkalo.
Spoločnosť Resecurity upozornila GDS a STT GDC opäť v januári po tom, čo zistila, že hackeri pristupujú k účtom, a bezpečnostná firma v tom čase podľa Yoo a dokumentov upozornila aj úrady v Číne a Singapure.
Obaja prevádzkovatelia dátových centier uviedli, že po upozornení na bezpečnostné problémy reagovali promptne a začali interné vyšetrovanie.
Cheryl Lee, hovorkyňa singapurskej agentúry pre kybernetickú bezpečnosť, uviedla, že agentúra „vie o incidente a v tejto záležitosti pomáha spoločnosti ST Telemedia“. Čínsky národný technický tím/koordinačné centrum pre núdzové situácie v oblasti počítačovej siete, mimovládna organizácia, ktorá sa zaoberá kybernetickou núdzovou reakciou, nereagovala na správy vyžadujúce komentár.
Spoločnosť GDS uznala, že došlo k narušeniu webovej stránky zákazníckej podpory, a uviedla, že v roku 2021 vyšetrila a opravila zraniteľnosť na stránke.
"Aplikácia, na ktorú sa zamerali hackeri, je obmedzená rozsahom a informáciami na nekritické servisné funkcie, ako je vytváranie žiadostí o lístky, plánovanie fyzického doručenia zariadení a kontrola správ o údržbe," uvádza sa vo vyhlásení spoločnosti. „Požiadavky uskutočnené prostredníctvom aplikácie si zvyčajne vyžadujú offline kontrolu a potvrdenie. Vzhľadom na základnú povahu aplikácie porušenie neviedlo k žiadnemu ohrozeniu prevádzky IT našich zákazníkov.“
STT GDC uviedla, že prizvala externých expertov na kybernetickú bezpečnosť, keď sa o incidente dozvedela v roku 2021. „Dotknutý IT systém je nástroj na predaj vstupeniek zákazníkom“ a „nemá žiadne prepojenie s inými podnikovými systémami ani žiadnu kritickú dátovú infraštruktúru,“ uviedla spoločnosť. .
Spoločnosť uviedla, že jej portál služieb zákazníkom nebol v roku 2021 narušený a že poverenia získané spoločnosťou Resecurity sú „čiastočným a zastaraným zoznamom používateľských poverení pre naše aplikácie na predaj vstupeniek pre zákazníkov. Všetky takéto údaje sú teraz neplatné a do budúcnosti nepredstavujú bezpečnostné riziko.“
„Nebol pozorovaný žiadny neoprávnený prístup ani strata údajov,“ uvádza sa vo vyhlásení STT GDC.
Bez ohľadu na to, ako hackeri mohli použiť informácie, odborníci na kybernetickú bezpečnosť uviedli, že krádeže ukazujú, že útočníci skúmajú nové spôsoby, ako infiltrovať tvrdé ciele.
Fyzické zabezpečenie IT zariadení v dátových centrách tretích strán a systémy na kontrolu prístupu k nim predstavujú zraniteľné miesta, ktoré firemné bezpečnostné oddelenia často prehliadajú, povedal Malcolm Harkins, bývalý hlavný šéf spoločnosti Intel Corp v oblasti bezpečnosti a ochrany osobných údajov. Akékoľvek zásahy do dátového centra vybavenie "by mohlo mať ničivé následky," povedal Harkins.
Hackeri získali e-mailové adresy a heslá pre viac ako 3,000 1,000 ľudí v GDS – vrátane jej vlastných zamestnancov a zamestnancov jej zákazníkov – a viac ako XNUMX XNUMX od STT GDC, podľa dokumentov, ktoré preskúmala agentúra Bloomberg News.
Hackeri tiež ukradli poverenia pre sieť GDS s viac ako 30,000 12345 sledovacími kamerami, z ktorých väčšina sa spoliehala na jednoduché heslá ako „admin“ alebo „adminXNUMX,“ uvádzajú dokumenty. GDS sa nezaoberalo otázkou o údajnej krádeži prihlasovacích údajov do siete kamier, ani o heslách.
Počet prihlasovacích údajov na webové stránky zákazníckej podpory sa u rôznych zákazníkov líšil. Napríklad v Alibabe bolo 201 účtov, v Amazone 99, v Microsofte 32, v Baidu Inc. 16, v Bank of America Corp. 15, v Bank of China Ltd. sedem, v Apple štyri a v Goldman tri. dokumenty. Yoo z Resecurity uviedol, že hackeri potrebujú na prístup k firemnému účtu na portáli služieb zákazníkom iba jednu platnú e-mailovú adresu a heslo.
Medzi ďalšie spoločnosti, ktorých prihlasovacie údaje pracovníkov boli získané podľa Resecurity a dokumentov, boli: Bharti Airtel Ltd. v Indii, Bloomberg LP (vlastník Bloomberg News), ByteDance Ltd., Ford Motor Co., Globe Telecom Inc. na Filipínach, Mastercard Inc., Morgan Stanley, Paypal Holdings Inc., Porsche AG, SoftBank Corp., Telstra Group Ltd. v Austrálii, Tencent Holdings Ltd., Verizon Communications Inc. a Wells Fargo & Co.
Baidu vo vyhlásení uviedol: „Nemyslíme si, že nejaké údaje boli kompromitované. Baidu venuje veľkú pozornosť zaisteniu bezpečnosti údajov našich zákazníkov. Budeme pozorne sledovať záležitosti, ako je táto, a budeme stále v strehu pred akýmikoľvek vznikajúcimi hrozbami pre bezpečnosť údajov v ktorejkoľvek časti našich operácií.“
Zástupca Porsche povedal: "V tomto konkrétnom prípade nemáme žiadne náznaky, že by existovalo nejaké riziko." Zástupca SoftBank uviedol, že čínska pobočka minulý rok prestala používať GDS. "Nebol potvrdený žiadny únik údajov o zákazníkoch z miestnej čínskej spoločnosti, ani to nemalo žiadny vplyv na jej podnikanie a služby," uviedol zástupca.
Hovorca spoločnosti Telstra povedal: „Nie sme si vedomí žiadneho vplyvu na podnikanie po tomto porušení“, zatiaľ čo zástupca spoločnosti Mastercard povedal: „Zatiaľ čo túto situáciu naďalej monitorujeme, nie sme si vedomí žiadnych rizík pre naše podnikanie ani dopadu na našu transakčnú sieť alebo systémy.“
Zástupca spoločnosti Tencent povedal: „Nie sme si vedomí žiadneho dopadu na podnikanie po tomto porušení. Naše servery spravujeme priamo v dátových centrách, pričom prevádzkovatelia dátových centier nemajú prístup k žiadnym údajom uloženým na serveroch Tencent. Po prešetrení sme nezistili žiadny neoprávnený prístup k našim IT systémom a serverom, ktoré zostávajú v bezpečí.“
Hovorca spoločnosti Wells Fargo uviedol, že spoločnosť GDS používala na zálohovanie IT infraštruktúry do decembra 2022. „GDS nemala prístup k údajom, systémom alebo sieti Wells Fargo,“ uviedla spoločnosť. Všetky ostatné spoločnosti odmietli komentovať alebo neodpovedali.
Yoo z Resecurity povedal, že v januári tajný agent jeho firmy naliehal na hackerov, aby ukázali, či ešte majú prístup k účtom. Hackeri poskytli snímky obrazovky, ktoré im ukázali, ako sa prihlasujú do účtov piatich spoločností a prechádzajú na rôzne stránky na online portáloch GDS a STT GDC, povedal. Zabezpečenie umožnilo agentúre Bloomberg News skontrolovať tieto snímky obrazovky.
V GDS hackeri získali prístup k účtu pre China Foreign Exchange Trade System, časť čínskej centrálnej banky, ktorá hrá kľúčovú úlohu v ekonomike tejto krajiny a prevádzkuje hlavnú vládnu platformu na obchodovanie s devízami a dlhmi, podľa snímok obrazovky a zabezpečenia. Organizácia nereagovala na správy.
V STT GDC hackeri získali prístup k účtom pre National Internet Exchange of India, organizáciu, ktorá spája poskytovateľov internetu v celej krajine, a troch ďalších so sídlom v Indii: MyLink Services Pvt., Skymax Broadband Services Pvt. a Logix InfoSecurity Pvt., ukazujú snímky obrazovky.
Národná internetová burza Indie, ktorú oslovila agentúra Bloomberg, uviedla, že o incidente nevedela a odmietla ďalšie komentáre. Žiadna z ďalších organizácií v Indii nereagovala na žiadosti o komentár.
Na otázku o tvrdení, že hackeri v januári stále pristupovali k účtom pomocou ukradnutých prihlasovacích údajov, zástupca GDS povedal: „Nedávno sme zistili viacero nových útokov od hackerov pomocou starých informácií o prístupe k účtu. Na blokovanie týchto útokov sme použili rôzne technické nástroje. Zatiaľ sme nenašli žiadne nové úspešné preniknutie od hackerov, čo je spôsobené zraniteľnosťou nášho systému.“
Zástupca GDS dodal: „Ako vieme, jeden zákazník si neresetoval jedno zo svojich hesiel účtu do tejto aplikácie, ktorá patrila jeho bývalému zamestnancovi. To je dôvod, prečo sme nedávno vynútili obnovenie hesla pre všetkých používateľov. Veríme, že ide o ojedinelú udalosť. Nie je to výsledok toho, že by hackeri prelomili náš bezpečnostný systém.“
Spoločnosť STT GDC uviedla, že v januári dostala oznámenie o ďalších hrozbách pre portály služieb zákazníkom v „našich regiónoch Indie a Thajska“. "Naše doterajšie vyšetrovanie ukazuje, že nedošlo k strate údajov ani vplyvu na žiadny z týchto portálov služieb zákazníkom," uviedla spoločnosť.
Koncom januára, po tom, čo GDS a STT GDC zmenili heslá zákazníkov, Resecurity podľa Yoo spozorovala, že hackeri zverejnili databázy na predaj na tmavom webovom fóre v angličtine a čínštine.
"DB obsahujú informácie o zákazníkoch, možno ich použiť na phishing, prístup do skríň, monitorovanie objednávok a zariadení, objednávky na diaľku," uvádza sa v príspevku. „Kto môže pomôcť s cieleným phishingom?“
Najčítanejšie z Bloomberg Businessweek
© 2023 Bloomberg LP
Zdroj: https://finance.yahoo.com/news/hackers-scored-data-center-logins-020028440.html