(Блумберг) — В эпизоде, который подчеркивает уязвимость глобальных компьютерных сетей, хакеры заполучили учетные данные для входа в центры обработки данных в Азии, используемые некоторыми крупнейшими компаниями мира, что является потенциальной находкой для шпионажа или саботажа, по данным исследовательской фирмы в области кибербезопасности. .
Самые читаемые от Bloomberg
Ранее не сообщавшиеся кэши данных включают в себя электронные письма и пароли для веб-сайтов поддержки клиентов двух крупнейших операторов центров обработки данных в Азии: базирующейся в Шанхае компании GDS Holdings Ltd. и сингапурской компании ST Telemedia Global Data Centres, согласно данным Resecurity Inc., которая предоставляет службы кибербезопасности и расследует деятельность хакеров. Пострадали около 2,000 клиентов GDS и STT GDC. По данным Resecurity, хакеры вошли в учетные записи как минимум пяти из них, в том числе главной китайской платформы для торговли иностранной валютой и долгами, а также четырех других из Индии, которые заявили, что проникли в хакерскую группу.
Неясно, что хакеры сделали с другими логинами (если вообще что-то сделали). Информация включала учетные данные в различных количествах для некоторых крупнейших компаний мира, включая Alibaba Group Holding Ltd., Amazon.com Inc., Apple Inc., BMW AG, Goldman Sachs Group Inc., Huawei Technologies Co., Microsoft Corp. и Walmart Inc., согласно данным охранной фирмы и сотням страниц документов, просмотренных агентством Bloomberg.
Отвечая на вопросы о выводах Resecurity, GDS сообщила в своем заявлении, что веб-сайт поддержки клиентов был взломан в 2021 году. Неясно, как хакеры получили данные STT GDC. Компания заявила, что не обнаружила никаких доказательств взлома ее портала обслуживания клиентов в том году. Обе компании заявили, что поддельные учетные данные не представляют риска для ИТ-систем или данных клиентов.
Однако Resecurity и руководители четырех крупных американских компаний, которые пострадали, заявили, что украденные учетные данные представляют собой необычную и серьезную опасность, прежде всего потому, что веб-сайты поддержки клиентов контролируют, кому разрешен физический доступ к ИТ-оборудованию, расположенному в центрах обработки данных. Те руководители, которые узнали об инцидентах от Bloomberg News и подтвердили эту информацию своим службам безопасности, попросили не называть их имени, поскольку они не были уполномочены публично говорить по этому поводу.
Подпишитесь на наш еженедельный информационный бюллетень по кибербезопасности Cyber Bulletin здесь.
Масштаб потери данных, о котором сообщает Resecurity, подчеркивает растущий риск, с которым сталкиваются компании из-за своей зависимости от третьих сторон, которые размещают данные и ИТ-оборудование и помогают своим сетям выйти на глобальные рынки. Эксперты по безопасности говорят, что эта проблема особенно остра в Китае, который требует от корпораций партнерства с местными поставщиками услуг передачи данных.
«Это кошмар, который должен случиться», — сказал Майкл Генри, бывший директор по информационным технологиям Digital Realty Trust Inc., одного из крупнейших операторов центров обработки данных в США, когда Bloomberg рассказал об инцидентах. (Инциденты не затронули компанию Digital Realty Trust). По словам Генри, худший сценарий для любого оператора центра обработки данных заключается в том, что злоумышленники каким-то образом получат физический доступ к серверам клиентов и установят вредоносный код или дополнительное оборудование. «Если они смогут добиться этого, они потенциально смогут нарушить коммуникации и торговлю в огромных масштабах».
GDS и STT GDC заявили, что у них нет никаких признаков того, что что-то подобное произошло, и что их основные сервисы не пострадали.
Хакеры имели доступ к учетным данным более года, прежде чем выставили их на продажу в темной сети в прошлом месяце за 175,000 XNUMX долларов, заявив, что они были ошеломлены их объемом, согласно Resecurity и скриншоту публикации, рассмотренному Bloomberg. .
«Я использовал несколько целей», — написали хакеры в сообщении. «Но не могу справиться, поскольку общее количество компаний превышает 2,000».
По мнению Resecurity, адреса электронной почты и пароли могли позволить хакерам маскироваться под авторизованных пользователей на веб-сайтах службы поддержки клиентов. По данным Resecurity, охранная фирма обнаружила кеши данных в сентябре 2021 года и заявила, что также нашла доказательства того, что хакеры использовали их для доступа к учетным записям клиентов GDS и STT GDC совсем недавно, в январе, когда оба оператора центров обработки данных заставили клиентов сбросить пароли.
По данным Resecurity, даже без действительных паролей данные по-прежнему будут ценными, что позволит хакерам создавать целевые фишинговые электронные письма против людей с высоким уровнем доступа к сетям их компаний.
Большинство пострадавших компаний, с которыми связался Bloomberg News, в том числе Alibaba, Amazon, Huawei и Walmart, отказались от комментариев. Apple не ответила на сообщения с просьбой прокомментировать.
В заявлении Microsoft говорится: «Мы регулярно отслеживаем угрозы, которые могут повлиять на Microsoft, и при выявлении потенциальных угроз мы принимаем соответствующие меры для защиты Microsoft и наших клиентов». Представитель Goldman Sachs заявил: «У нас есть дополнительные меры контроля для защиты от такого рода нарушений, и мы удовлетворены тем, что наши данные не подверглись риску».
Автопроизводитель BMW заявил, что знает о проблеме. Но представитель компании заявил: «После оценки проблема имеет очень ограниченное влияние на бизнес BMW и не причинила никакого ущерба клиентам BMW и информации, связанной с продуктами». Представитель добавил: «BMW призвала GDS повысить уровень информационной безопасности».
GDS и STT GDC — два крупнейших поставщика услуг колокейшн в Азии. Они действуют как арендодатели, сдавая в аренду помещения в своих центрах обработки данных клиентам, которые устанавливают там свое собственное ИТ-оборудование и управляют им, обычно для того, чтобы быть ближе к клиентам и бизнес-операциям в Азии. По данным Synergy Research Group Inc, GDS входит в тройку крупнейших поставщиков колокейшн-услуг в Китае, втором по величине рынке услуг в мире после США. Сингапур занимает шестое место.
Компании также взаимосвязаны: корпоративная отчетность показывает, что в 2014 году компания Singapore Technologies Telemedia Pte, материнская компания STT GDC, приобрела 40% акций GDS.
Генеральный директор Resecurity Джин Ю заявил, что его фирма раскрыла инциденты в 2021 году после того, как один из ее сотрудников работал под прикрытием, чтобы проникнуть в хакерскую группу в Китае, которая атаковала правительственные объекты на Тайване.
Вскоре после этого он предупредил GDS и STT GDC, а также небольшое количество клиентов Resecurity, которые пострадали, согласно Ю и документам.
Resecurity снова уведомила GDS и STT GDC в январе после того, как обнаружила, что хакеры получают доступ к учетным записям, а охранная фирма также тогда же предупредила власти Китая и Сингапура, согласно Ю и документам.
Оба оператора центров обработки данных заявили, что они оперативно отреагировали на уведомление о проблемах с безопасностью и начали внутренние расследования.
Шерил Ли, представитель Агентства кибербезопасности Сингапура, заявила, что агентство «знает об инциденте и помогает ST Telemedia в этом вопросе». Техническая группа реагирования на чрезвычайные ситуации в национальной компьютерной сети/Координационный центр Китая, неправительственная организация, занимающаяся реагированием на чрезвычайные ситуации в киберпространстве, не ответила на сообщения с просьбой прокомментировать.
GDS признала, что веб-сайт поддержки клиентов был взломан, и заявила, что исследовала и устранила уязвимость на сайте в 2021 году.
«Приложение, на которое нацелены хакеры, ограничено по объему и информации некритическими сервисными функциями, такими как выполнение запросов на билеты, планирование физической доставки оборудования и просмотр отчетов о техническом обслуживании», — говорится в заявлении компании. «Запросы, сделанные через приложение, обычно требуют последующей обработки и подтверждения в автономном режиме. Учитывая базовый характер приложения, нарушение не привело к какой-либо угрозе ИТ-операциям наших клиентов».
STT GDC заявила, что привлекла внешних экспертов по кибербезопасности, когда узнала об инциденте в 2021 году. «Рассматриваемая ИТ-система представляет собой инструмент обработки заявок обслуживания клиентов» и «не имеет связи ни с другими корпоративными системами, ни с какой-либо критически важной инфраструктурой данных», — заявили в компании. .
Компания заявила, что ее портал обслуживания клиентов не был взломан в 2021 году и что учетные данные, полученные Resecurity, представляют собой «неполный и устаревший список учетных данных пользователей для наших приложений по продаже билетов клиентов». Любые такие данные теперь недействительны и не представляют угрозы безопасности в будущем».
«Никакого несанкционированного доступа или потери данных не наблюдалось», — говорится в заявлении STT GDC.
Независимо от того, как хакеры могли использовать информацию, эксперты по кибербезопасности заявили, что кражи показывают, что злоумышленники изучают новые способы проникновения в надежные цели.
Физическая безопасность ИТ-оборудования в сторонних центрах обработки данных и системы контроля доступа к нему представляют собой уязвимости, которые часто упускаются из виду отделами корпоративной безопасности, сказал Малкольм Харкинс, бывший руководитель службы безопасности и конфиденциальности корпорации Intel. Любое вмешательство в работу центра обработки данных оборудование «может иметь разрушительные последствия», сказал Харкинс.
Согласно документам, просмотренным Bloomberg News, хакеры получили адреса электронной почты и пароли более чем 3,000 человек в GDS, включая сотрудников компании и клиентов, а также более 1,000 человек из STT GDC.
Хакеры также украли учетные данные для сети GDS, состоящей из более чем 30,000 12345 камер наблюдения, большинство из которых использовали простые пароли, такие как «admin» или «adminXNUMX», говорится в документах. GDS не ответила на вопрос о предполагаемой краже учетных данных сети камер или о паролях.
Количество учетных данных для входа на веб-сайты поддержки клиентов различалось у разных клиентов. Например, по данным Alibaba, 201 — у Amazon, 99 — у Microsoft, 32 — у Baidu Inc., 16 — у Bank of America Corp., семь — у Bank of China Ltd., четыре — у Apple и три — у Goldman. документы. Ю из Resecurity сказал, что хакерам нужен только один действующий адрес электронной почты и пароль для доступа к учетной записи компании на портале обслуживания клиентов.
Среди других компаний, данные для входа в систему сотрудников которых были получены, согласно Resecurity и документам, были: Bharti Airtel Ltd. в Индии, Bloomberg LP (владелец Bloomberg News), ByteDance Ltd., Ford Motor Co., Globe Telecom Inc. на Филиппинах Mastercard Inc., Morgan Stanley, Paypal Holdings Inc., Porsche AG, SoftBank Corp., Telstra Group Ltd. в Австралии, Tencent Holdings Ltd., Verizon Communications Inc. и Wells Fargo & Co.
В заявлении Baidu говорится: «Мы не считаем, что какие-либо данные были скомпрометированы. Baidu уделяет большое внимание обеспечению безопасности данных наших клиентов. Мы будем пристально следить за такими вопросами и оставаться в курсе любых возникающих угроз безопасности данных в любой части нашей деятельности».
Представитель Porsche заявил: «В этом конкретном случае у нас нет никаких признаков того, что существовал какой-либо риск». Представитель SoftBank сообщил, что китайская дочерняя компания прекратила использовать GDS в прошлом году. «Никакой утечки данных о клиентах местной китайской компании не было подтверждено, и это не оказало какого-либо влияния на ее бизнес и услуги», — сказал представитель.
Представитель Telstra заявил: «Нам не известно о каких-либо последствиях для бизнеса после этого нарушения», а представитель Mastercard заявил: «Хотя мы продолжаем следить за этой ситуацией, нам не известно о каких-либо рисках для нашего бизнеса или влиянии на наша транзакционная сеть или системы».
Представитель Tencent заявил: «Нам неизвестно о каких-либо последствиях для бизнеса после этого нарушения. Мы управляем нашими серверами напрямую внутри центров обработки данных, при этом операторы центров обработки данных не имеют доступа к каким-либо данным, хранящимся на серверах Tencent. После расследования мы не обнаружили какого-либо несанкционированного доступа к нашим ИТ-системам и серверам, которые остаются безопасными и надежными».
Представитель Wells Fargo заявил, что компания использовала GDS для резервного копирования ИТ-инфраструктуры до декабря 2022 года. «GDS не имела доступа к данным, системам или сети Wells Fargo», — заявили в компании. Остальные компании отказались от комментариев или не ответили.
Ю из Resecurity рассказал, что в январе агент его фирмы под прикрытием потребовал от хакеров продемонстрировать, имеют ли они по-прежнему доступ к учетным записям. По его словам, хакеры предоставили скриншоты, на которых видно, как они входят в учетные записи пяти компаний и переходят на разные страницы онлайн-порталов GDS и STT GDC. Служба безопасности позволила Bloomberg News просмотреть эти скриншоты.
В GDS хакеры получили доступ к учетной записи Китайской системы торговли иностранной валютой, подразделения центрального банка Китая, которое играет ключевую роль в экономике этой страны, управляя основной правительственной платформой для торговли иностранной валютой и долгами, согласно скриншотам и Resecurity. Организация не ответила на сообщения.
В STT GDC хакеры получили доступ к учетным записям Национальной интернет-биржи Индии, организации, которая объединяет интернет-провайдеров по всей стране, а также трех других, базирующихся в Индии: MyLink Services Pvt., Skymax Broadband Services Pvt. и Logix InfoSecurity Pvt. скриншоты показывают.
В сообщении Bloomberg Национальная интернет-биржа Индии заявила, что ей ничего не известно об инциденте, и отказалась от дальнейших комментариев. Ни одна из других организаций в Индии не ответила на запросы о комментариях.
Отвечая на вопрос о заявлении о том, что хакеры все еще получали доступ к учетным записям в январе, используя украденные учетные данные, представитель GDS сказал: «Недавно мы обнаружили несколько новых атак со стороны хакеров, использующих старую информацию о доступе к учетной записи. Мы использовали различные технические инструменты для блокирования этих атак. Пока мы не обнаружили ни одного нового успешного взлома со стороны хакеров, что связано с уязвимостью нашей системы».
Представитель GDS добавил: «Насколько нам известно, ни один клиент не сбросил ни один из паролей своей учетной записи в этом приложении, которое принадлежало их бывшему сотруднику. Именно по этой причине мы недавно принудительно сбросили пароль для всех пользователей. Мы считаем, что это единичный случай. Это не результат взлома хакерами нашей системы безопасности».
STT GDC заявила, что в январе получила уведомление о дальнейших угрозах порталам обслуживания клиентов в «наших регионах Индии и Таиланда». «Наше расследование на сегодняшний день показывает, что не было никакой потери данных или воздействия на какой-либо из этих порталов обслуживания клиентов», — заявили в компании.
По словам Ю, в конце января, после того как GDS и STT GDC изменили пароли клиентов, Resecurity заметила, что хакеры размещали базы данных для продажи на форуме даркнета на английском и китайском языках.
«БД содержат информацию о клиентах, могут быть использованы для фишинга, доступа к шкафам, мониторинга заказов и оборудования, удаленных заказов», — говорится в сообщении. «Кто может помочь с целевым фишингом?»
Самое читаемое из Bloomberg Businessweek
© 2023 Bloomberg LP
Источник: https://finance.yahoo.com/news/hackers-scored-data-center-logins-020028440.html.