(Bloomberg) — В епизод, който подчертава уязвимостта на глобалните компютърни мрежи, хакери се докопаха до идентификационни данни за вход в центрове за данни в Азия, използвани от някои от най-големите бизнеси в света, потенциално богатство за шпиониране или саботаж, според изследователска фирма за киберсигурност .
Най -четени от Bloomberg
Неотчетените по-рано кешове на данни включват имейли и пароли за уебсайтове за поддръжка на клиенти за два от най-големите оператори на центрове за данни в Азия: базираната в Шанхай GDS Holdings Ltd. и базираната в Сингапур ST Telemedia Global Data Centres, според Resecurity Inc., която предоставя услуги за киберсигурност и разследване на хакери. Засегнати са около 2,000 клиенти на GDS и STT GDC. Хакери са влезли в акаунтите на най-малко пет от тях, включително основната китайска платформа за търговия с валута и дългове и четири други от Индия, според Resecurity, която каза, че е проникнала в хакерската група.
Не е ясно какво - ако има нещо - хакерите са направили с другите влизания. Информацията включваше идентификационни данни в различни числа за някои от най-големите компании в света, включително Alibaba Group Holding Ltd., Amazon.com Inc., Apple Inc., BMW AG, Goldman Sachs Group Inc., Huawei Technologies Co., Microsoft Corp., и Walmart Inc., според охранителната фирма и стотици страници документи, прегледани от Bloomberg.
В отговор на въпроси относно констатациите на Resecurity, GDS каза в изявление, че уебсайт за поддръжка на клиенти е бил пробит през 2021 г. Не е ясно как хакерите са получили данните от STT GDC. Тази компания заяви, че не е открила доказателства, че нейният портал за обслужване на клиенти е бил компрометиран през тази година. И двете компании заявиха, че измамните идентификационни данни не представляват риск за ИТ системите или данните на клиентите.
Въпреки това отделът за сигурност и ръководителите на четири големи базирани в САЩ компании, които бяха засегнати, казаха, че откраднатите идентификационни данни представляват необичайна и сериозна опасност, главно защото уебсайтовете за поддръжка на клиенти контролират на кого е разрешен физически достъп до ИТ оборудването, разположено в центровете за данни. Тези ръководители, които научиха за инцидентите от Bloomberg News и потвърдиха информацията със своите екипи по сигурността, които поискаха да не бъдат идентифицирани, тъй като не са упълномощени да говорят публично по въпроса.
Регистрирайте се за нашия седмичен бюлетин за киберсигурност, Cyber Bulletin, тук.
Големината на загубата на данни, отчетена от Resecurity, подчертава нарастващия риск, пред който са изправени компаниите поради зависимостта им от трети страни, които да съхраняват данни и ИТ оборудване и да помогнат на техните мрежи да достигнат до глобалните пазари. Експерти по сигурността твърдят, че проблемът е особено остър в Китай, който изисква корпорациите да си партнират с местни доставчици на услуги за данни.
„Това е кошмар, който чака да се случи“, каза Майкъл Хенри, бивш главен информационен директор на Digital Realty Trust Inc., един от най-големите оператори на центрове за данни в САЩ, когато беше разказан за инцидентите от Bloomberg. (Digital Realty Trust не беше засегнат от инцидентите). Най-лошият сценарий за всеки оператор на център за данни е нападателите по някакъв начин да получат физически достъп до сървърите на клиентите и да инсталират зловреден код или допълнително оборудване, каза Хенри. „Ако успеят да постигнат това, те потенциално могат да нарушат комуникациите и търговията в огромен мащаб.“
GDS и STT GDC заявиха, че нямат индикации да се е случило нещо подобно и че основните им услуги не са засегнати.
Хакерите са имали достъп до идентификационните данни за вход повече от година, преди да го публикуват за продажба в тъмната мрежа миналия месец за $175,000 XNUMX, като казаха, че са били затрупани от обема им, според Resecurity и екранна снимка на публикацията, прегледана от Bloomberg .
„Използвах някои цели“, казаха хакерите в публикацията. „Но не можем да се справим, тъй като общият брой на компаниите е над 2,000.“
Имейл адресите и паролите може да са позволили на хакерите да се маскират като оторизирани потребители на уебсайтовете за обслужване на клиенти, според Resecurity. Фирмата за сигурност откри кешовете за данни през септември 2021 г. и каза, че също така е открила доказателства, че хакерите са ги използвали за достъп до акаунти на клиенти на GDS и STT GDC през януари, когато и двата оператора на центрове за данни принудиха да нулират паролите на клиентите, според Resecurity.
Дори и без валидни пароли, данните все още биха били ценни - позволявайки на хакерите да създават целеви фишинг имейли срещу хора с достъп на високо ниво до мрежите на техните компании, според Resecurity.
Повечето от засегнатите компании, с които Bloomberg News се свърза, включително Alibaba, Amazon, Huawei и Walmart, отказаха коментар. Apple не отговори на съобщения, търсещи коментар.
В изявление Microsoft каза: „Ние редовно следим за заплахи, които биха могли да засегнат Microsoft, и когато бъдат идентифицирани потенциални заплахи, предприемаме подходящи действия, за да защитим Microsoft и нашите клиенти.“ Говорител на Goldman Sachs каза: „Имаме допълнителни контроли за защита срещу този тип пробив и сме доволни, че нашите данни не са изложени на риск.“
Автомобилният производител BMW каза, че е наясно с проблема. Но говорител на компанията каза: „След оценка, проблемът има много ограничено въздействие върху бизнеса на BMW и не е нанесъл щети на клиентите на BMW и свързаната с продукта информация.“ Говорителят добави: „BMW призова GDS да подобри нивото на информационна сигурност.“
GDS и STT GDC са два от най-големите доставчици на „колокационни“ услуги в Азия. Те действат като наемодатели, наемайки място в своите центрове за данни на клиенти, които инсталират и управляват собствено ИТ оборудване там, обикновено за да бъдат по-близо до клиентите и бизнес операциите в Азия. GDS е сред първите три доставчици на колокация в Китай, вторият по големина пазар за услугата в света след САЩ, според Synergy Research Group Inc. Сингапур е на шесто място.
Компаниите също са преплетени: корпоративно досие показва, че през 2014 г. Singapore Technologies Telemedia Pte, майката на STT GDC, е придобила 40% дял в GDS.
Главният изпълнителен директор на Resecurity Джийн Ю каза, че неговата фирма е разкрила инцидентите през 2021 г., след като един от нейните агенти е преминал под прикритие, за да проникне в хакерска група в Китай, която е атакувала правителствени цели в Тайван.
Скоро след това той предупреди GDS и STT GDC и малък брой клиенти на Resecurity, които са били засегнати, според Yoo и документите.
Resecurity уведоми GDS и STT GDC отново през януари, след като откри хакерите, които имат достъп до акаунти, а охранителната фирма също предупреди властите в Китай и Сингапур по това време, според Yoo и документите.
И двамата оператори на центрове за данни казаха, че са реагирали незабавно, когато са били уведомени за проблемите със сигурността, и са започнали вътрешни разследвания.
Шерил Лий, говорител на Агенцията за киберсигурност на Сингапур, каза, че агенцията „е наясно с инцидента и помага на ST Telemedia по този въпрос“. Националният технически екип за реагиране при извънредни ситуации на компютърни мрежи/Координационен център на Китай, неправителствена организация, която се занимава с реагиране при извънредни ситуации в кибернетичното пространство, не отговори на съобщения, търсещи коментар.
GDS призна, че уебсайт за поддръжка на клиенти е бил пробит и каза, че е разследвал и коригирал уязвимост в сайта през 2021 г.
„Приложението, което беше насочено от хакери, е ограничено по обхват и информация до некритични сервизни функции, като правене на заявки за билети, планиране на физическа доставка на оборудване и преглед на доклади за поддръжка“, се казва в изявление на компанията. „Заявките, направени чрез приложението, обикновено изискват офлайн проследяване и потвърждение. Като се има предвид основният характер на приложението, пробивът не доведе до заплаха за ИТ операциите на нашите клиенти.“
STT GDC заяви, че е привлякла външни експерти по киберсигурност, когато научи за инцидента през 2021 г. „Въпросната ИТ система е инструмент за билети за обслужване на клиенти“ и „няма връзка с други корпоративни системи, нито с критична инфраструктура за данни“, каза компанията .
Компанията каза, че нейният портал за обслужване на клиенти не е бил пробит през 2021 г. и че идентификационните данни, получени от Resecurity, са „частичен и остарял списък с потребителски идентификационни данни за нашите приложения за билети за клиенти. Всички такива данни вече са невалидни и не представляват риск за сигурността в бъдеще.
„Не е наблюдаван неоторизиран достъп или загуба на данни“, според изявлението на STT GDC.
Независимо от начина, по който хакерите може да са използвали информацията, експертите по киберсигурност казаха, че кражбите показват, че нападателите проучват нови начини за проникване в трудни цели.
Физическата сигурност на ИТ оборудването в центрове за данни на трети страни и системите за контролиране на достъпа до него представляват уязвимости, които често се пренебрегват от отделите за корпоративна сигурност, каза Малкълм Харкинс, бивш главен отдел за сигурност и поверителност на Intel Corp. Всяко намеса в центъра за данни оборудване „може да има опустошителни последици“, каза Харкинс.
Хакерите са се сдобили с имейл адреси и пароли за повече от 3,000 души в GDS — включително собствените служители и тези на клиентите — и над 1,000 от STT GDC, според документите, прегледани от Bloomberg News.
Хакерите също са откраднали идентификационни данни за мрежата на GDS от повече от 30,000 12345 камери за наблюдение, повечето от които разчитат на прости пароли като „admin“ или „adminXNUMX“, показват документите. GDS не отговори на въпрос относно предполагаемата кражба на идентификационни данни в мрежата на камерата или относно паролите.
Броят на идентификационните данни за вход в уебсайтовете за поддръжка на клиенти варира за различните клиенти. Например има 201 акаунта в Alibaba, 99 в Amazon, 32 в Microsoft, 16 в Baidu Inc., 15 в Bank of America Corp., седем в Bank of China Ltd., четири в Apple и три в Goldman, според документите. Yoo от Resecurity каза, че хакерите се нуждаят само от един валиден имейл адрес и парола за достъп до акаунта на компанията в портала за обслужване на клиенти.
Сред другите компании, чиито данни за вход на работниците са получени, според Resecurity и документите, са: Bharti Airtel Ltd. в Индия, Bloomberg LP (собственикът на Bloomberg News), ByteDance Ltd., Ford Motor Co., Globe Telecom Inc. във Филипините, Mastercard Inc., Morgan Stanley, Paypal Holdings Inc., Porsche AG, SoftBank Corp., Telstra Group Ltd. в Австралия, Tencent Holdings Ltd., Verizon Communications Inc. и Wells Fargo & Co.
В изявление Baidu каза: „Не вярваме, че никакви данни са били компрометирани. Baidu обръща голямо внимание на гарантирането на сигурността на данните на нашите клиенти. Ние ще следим отблизо въпроси като този и ще останем нащрек за всякакви възникващи заплахи за сигурността на данните във всяка част от нашите операции.“
Представител на Porsche каза: „В този конкретен случай нямаме индикации, че е имало някакъв риск.“ Представител на SoftBank каза, че китайско дъщерно дружество е спряло да използва GDS миналата година. „Не е потвърдено изтичане на информация за клиенти от местната китайска компания, нито е имало въздействие върху нейния бизнес и услуги“, каза представителят.
Говорител на Telstra каза: „Не знаем за каквото и да било въздействие върху бизнеса след това нарушение“, докато представител на Mastercard каза: „Въпреки че продължаваме да наблюдаваме тази ситуация, не сме запознати с никакви рискове за нашия бизнес или въздействие върху нашата транзакционна мрежа или системи.“
Представител на Tencent каза: „Не сме запознати с каквото и да е въздействие върху бизнеса след това нарушение. Ние управляваме директно нашите сървъри в центрове за данни, като операторите на центрове за данни нямат достъп до никакви данни, съхранявани на сървърите на Tencent. След разследване не сме открили неоторизиран достъп до нашите ИТ системи и сървъри, които остават безопасни и защитени.“
Говорител на Wells Fargo каза, че използва GDS за резервна ИТ инфраструктура до декември 2022 г. „GDS нямаше достъп до данните, системите или мрежата на Wells Fargo“, каза компанията. Всички други компании отказаха коментар или не отговориха.
Yoo от Resecurity каза, че през януари агент под прикритие на неговата фирма е притиснал хакерите да демонстрират дали все още имат достъп до акаунти. Хакерите предоставиха екранни снимки, показващи как влизат в акаунти на пет компании и навигират до различни страници в онлайн порталите GDS и STT GDC, каза той. Сигурността позволи на Bloomberg News да прегледа тези екранни снимки.
В GDS хакерите са получили достъп до акаунт за китайската система за валутна търговия, подразделение на китайската централна банка, което играе ключова роля в икономиката на тази страна, управлявайки основната правителствена платформа за валутна търговия и търговия с дългове, според екранните снимки и Resecurity. Организацията не отговори на съобщенията.
В STT GDC хакерите са получили достъп до акаунти за Националния интернет обмен на Индия, организация, която свързва интернет доставчици в цялата страна, и три други базирани в Индия: MyLink Services Pvt., Skymax Broadband Services Pvt. и Logix InfoSecurity Pvt., екранните снимки показват.
Достигната от Bloomberg, Националната интернет борса на Индия каза, че не е запозната с инцидента и отказа допълнителен коментар. Нито една от другите организации в Индия не отговори на искания за коментар.
Запитан за твърдението, че хакерите все още са имали достъп до акаунти през януари, използвайки откраднатите идентификационни данни, представител на GDS каза: „Наскоро открихме множество нови атаки от хакери, използващи старата информация за достъп до акаунта. Използвахме различни технически инструменти, за да блокираме тези атаки. Досега не сме открили ново успешно проникване от хакери, което се дължи на уязвимостта на нашата система.“
Представителят на GDS добави: „Както знаем, един единствен клиент не е нулирал една от паролите на акаунта си за това приложение, което принадлежи на техен бивш служител. Това е причината, поради която наскоро наложихме нулиране на паролата за всички потребители. Вярваме, че това е изолирано събитие. Това не е резултат от проникване на хакери в нашата система за сигурност.
STT GDC заяви, че е получила известие през януари за допълнителни заплахи към порталите за обслужване на клиенти в „нашите региони на Индия и Тайланд“. „Нашите разследвания до момента показват, че не е имало загуба на данни или въздействие върху който и да е от тези портали за обслужване на клиенти“, каза компанията.
В края на януари, след като GDS и STT GDC промениха паролите на клиентите, Resecurity забеляза хакерите, които публикуваха базите данни за продажба във форум на тъмната мрежа на английски и китайски, според Yoo.
„БД съдържат информация за клиента, могат да се използват за фишинг, достъп до шкафове, наблюдение на поръчки и оборудване, поръчки от дистанционни ръце“, се казва в публикацията. „Кой може да помогне с насочен фишинг?“
Най -четени от Bloomberg Businessweek
© 2023 Bloomberg LP
Източник: https://finance.yahoo.com/news/hackers-scored-data-center-logins-020028440.html