Pēdējā pusotra gada laikā ir novēroti kiberuzbrukumi vairākiem datu centriem dažādos pasaules reģionos. Tā rezultātā tika nopludināta informācija par dažiem pasaules lielākajiem uzņēmumiem, tostarp Amazon, Apple, Goldman Sachs un Microsoft, kuru piekļuves akreditācijas dati tika publicēti tumšajā tīmeklī, ziņo kiberdrošības uzņēmums Resecurity.
“Ļaunprātīgas kiberdarbības, kas vērstas pret datu centru organizācijām, rada nozīmīgu precedentu piegādes ķēdes kiberdrošības kontekstā,” Resecurity norāda savā bloga ierakstā. Resecurity sagaida, ka uzbrucēji palielinās ļaunprātīgu kiberdarbību, kas saistīta ar datu centriem un to klientiem.
Resecurity nenosauca upuru vārdus, taču saskaņā ar atsevišķu Bloomberg ziņojumu, kiberuzbrukumi nozaga datu centru akreditācijas datus no lielām korporācijām, tostarp Alibaba, Amazon, Apple, BMW, Goldman Sachs, Huawei Technologies, Microsoft un Walmart. Bloomberg norādīja, ka tā ir izskatījusi Resecurity dokumentus, kas saistīti ar šīm ļaunprātīgajām darbībām.
Resecurity 2021. gada septembrī pirmo reizi brīdināja datu centrus par ļaunprātīgu kampaņu, kas vērsta pret tiem. 2022. gadā un 2023. gada janvārī tika sniegti jauni ziņojumi par diviem citiem gadījumiem. Šīs darbības mērķis bija nozagt sensitīvus datus no uzņēmumiem un valdības organizācijām, kas ir datu centru klienti, norādīja Resecurity.
Tumšajā tīmeklī izvietoti klientu ieraksti
Pavisam nesen pagrīdes forumā Breached.to tika publicēti akreditācijas dati, kas saistīti ar datu centru organizācijām. Tie tika iegūti dažādās ļaunprātīgās kampaņas epizodēs. Dažus fragmentus no šīs konkrētās datu kešatmiņas (data cache) vairāki draudu dalībnieki (threat actors) ir izplatījuši arī vietnē Telegram.
Resecurity tumšajā tīmeklī identificēja vairākus, iespējams, Āzijas izcelsmes dalībniekus, kuriem kampaņas laikā izdevās piekļūt klientu ierakstiem un izfiltrēt tos no vienas vai vairākām datubāzēm. Tās saistītas ar konkrētām lietojumprogrammām un sistēmām, ko izmanto vairākas datu centru organizācijas.
Vismaz vienā no gadījumiem sākotnējā piekļuve, visticamāk, tika iegūta, izmantojot neaizsargātu palīdzības dienesta vai biļešu pārvaldības moduli, kas bija integrēts ar citām lietojumprogrammām un sistēmām, ļaujot draudu dalībniekam veikt sānu kustību (lateral movement).
Saskaņā ar Resecurity ziņoto, draudu dalībnieks varēja iegūt datu centra vides uzraudzībai izmantoto CCTV kameru sarakstu ar saistītajiem video plūsmas identifikatoriem, kā arī akreditācijas informāciju, kas saistīta ar datu centra IT personālu un klientiem.
Kad akreditācijas dati bija savākti, draudu dalībnieks veica aktīvu zondēšanu, lai savāktu informāciju par uzņēmumu klientu pārstāvjiem, kas pārvalda datu centra darbību, nopirkto pakalpojumu sarakstus un izvietoto aprīkojumu.
Ļaunprātīgas darbības ir vērstas uz klientu verifikācijas datiem
Saskaņā ar Resecurity ziņoto, 2021. gada septembrī, kad kampaņu pirmo reizi novēroja Resecurity pētnieki, šajā posmā iesaistītais draudu dalībnieks spēja savākt dažādus ierakstus no vairāk nekā 2000 datu centru klientiem. Tie ietvēra akreditācijas datus, e-pasta, mobilā tālruņa un personas apliecības atsauces, kas, iespējams, tika izmantotas noteiktiem klientu verifikācijas mehānismiem.
Draudu dalībniekam izdevās arī kompromitēt vienu no iekšējiem e-pasta kontiem, kas izmantots apmeklētāju reģistrācijai. Pēc tam to varēja izmantot kiberspiegošanai vai citiem ļaunprātīgiem mērķiem, norāda Resecurity.
Otrajā novērotajā kampaņas gadījumā, kas notika 2022. gadā, dalībniekam izdevās izfiltrēt klientu datubāzi, kurā, domājams, bija 1210 ieraksti no datu centra organizācijas, kuras galvenais birojs atradās Singapūrā.
Šā gada janvārī novērotās ļaunprātīgās kampaņas trešajā posmā bija iesaistīta organizācija ASV, kas bija viena no iepriekš ietekmēto datu centru klientiem. “Informācija par šo posmu joprojām ir ierobežota salīdzinājumā ar iepriekšējiem 2 posmiem, taču Resecurity izdevās savākt vairākus akreditācijas datus, ko izmantoja IT darbinieki, kuri piešķīra piekļuvi klienta portālam citā datu centrā,” paziņoja Resecurity.
Pēc tam 28. janvārī kampaņas laikā nozagtie dati tika publicēti pārdošanai pagrīdes kopienā tumšajā tīmeklī ar nosaukumu Ramp, ko bieži izmanto sākotnējās piekļuves starpnieki (access brokers) un izspiedējvīrusu grupas.
“Visticamāk, ka draudu dalībnieks saprata, ka viņa darbība var tikt atklāta un datu vērtība laika gaitā var samazināties, tāpēc ideja par tūlītēju monetizāciju bija gaidīts solis,” sacīja Resecurity, piebilstot, ka datu izgāšanai var būt arī citi iemesli. “Šādu taktiku bieži izmanto nacionālo valstu dalībnieki, maskējot savu darbību, parasti, lai noslēptu uzbrukuma motīvu.”
Ziņots, ka cietuši Āzijas datu centri
Lai gan Resecurity nenosauca uzbrukumā identificēto datu centru operatorus, Bloomberg ziņoja, ka starp cietušajām organizācijām ir Šanhajā bāzētā GDS Holdings un Singapūrā bāzētā ST Telemedia Global datu centri
GDS ir atzinusi, ka 2021. gadā tika uzlauzta klientu atbalsta tīmekļa vietne, taču norādīja, ka klientu IT sistēmas vai dati nav apdraudēti, ziņoja aģentūra Bloomberg. Arī ST Telemedia paziņoja, ka klientiem nav bijis nekāds risks.
Saskaņā ar Resecurity datiem noplūdušajos datu kopumos identificētās organizācijas ir finanšu iestādes ar globālu klātbūtni, kā arī ieguldījumu fondi, biomedicīnas pētniecības uzņēmumi, tehnoloģiju pārdevēji, e-komercijas vietnes, mākoņpakalpojumi, interneta pakalpojumu sniedzēji un satura piegādes tīklu uzņēmumi. Saskaņā ar pētnieku sniegto informāciju šo uzņēmumu galvenie biroji atrodas ASV, Apvienotajā Karalistē, Kanādā, Austrālijā, Šveicē, Jaunzēlandē un Ķīnā.
Resecurity nav identificējusi nevienu zināmu APT (advanced persistent threat) grupu, kas būtu atbildīga par šiem uzbrukumiem. Pētnieki norāda, ka, iespējams, upurus varēja kompromitēt vairāki dažādi dalībnieki.
Resecurity norādīja, ka RAMP (Robotics and Automation Marketplace) kā datu piedāvājuma tirgus izvēle ir piedāvājusi dažus pavedienus. RAMP ir pievienojis ķīniešu valodas atbalstu un aicinājis ķīniešu valodā runājošos hakerus pievienoties. “Lielākajai daļai foruma sadaļu ir tulkojums ķīniešu valodā, un tieši tur mēs varējām identificēt vairākus dalībniekus no Ķīnas un Dienvidaustrumāzijas valstīm,” sacīja Resecurity.
Informācija par ļaunprātīgo darbību ir nodota cietušajām pusēm un valstu datorapdraudējumu reaģēšanas komandām (CERT) Ķīnā un Singapūrā. Pētniecības uzņēmums dalījās ar informāciju arī ar ASV tiesībaizsardzības iestādēm, jo datu kopās bija ievērojams daudzums informācijas, kas bija saistīta ar lielākajām Fortune 500 korporācijām.
