(Bloomberg) – episoodis, mis rõhutab ülemaailmsete arvutivõrkude haavatavust, said häkkerid kätte Aasias asuvate andmekeskuste sisselogimismandaadid, mida kasutavad mõned maailma suurimad ettevõtted. Küberjulgeoleku uurimisfirma andmetel on see võimalik luuramise või sabotaaži eelis. .
Enim loetud Bloombergist
Varem teatamata andmevahemälud hõlmavad kahe Aasia suurima andmekeskuse operaatori klienditoe veebisaitide e-kirju ja paroole: Shanghais asuv GDS Holdings Ltd. ja Singapuris asuv ST Telemedia Global Data Centers, teatab Resecurity Inc., mis pakub teenuseid. küberturvateenuseid ja uurib häkkereid. See mõjutas umbes 2,000 GDS-i ja STT GDC klienti. Häkkerid on sisse loginud vähemalt viie kontole, sealhulgas Hiina peamisele valuuta- ja võlakauplemisplatvormile ning veel neljale Indiast pärit kontole, vahendab Resecurity, kes teatas, et tungis häkkimisrühmitusse.
Pole selge, mida – kui üldse – häkkerid teiste sisselogimistega tegid. Teave sisaldas erineval hulgal volikirju mõne maailma suurima ettevõtte kohta, sealhulgas Alibaba Group Holding Ltd., Amazon.com Inc., Apple Inc., BMW AG, Goldman Sachs Group Inc., Huawei Technologies Co., Microsoft Corp., ja Walmart Inc., vastavalt turvafirmale ja sadu lehekülgi dokumente, mille Bloomberg üle vaatas.
Vastates küsimustele Resecurity leidude kohta, ütles GDS avalduses, et 2021. aastal rikuti klienditoe veebisaiti. Pole selge, kuidas häkkerid STT GDC andmed hankisid. See ettevõte teatas, et ei leidnud ühtegi tõendit selle kohta, et tema klienditeenindusportaal oleks sel aastal ohustatud. Mõlemad ettevõtted ütlesid, et petlikud volikirjad ei kujutanud ohtu klientide IT-süsteemidele ega andmetele.
Kuid nelja suurema USA-s asuva ettevõtte turvateenistus ja juhid, keda see mõjutas, ütlesid, et varastatud volikirjad kujutavad endast ebatavalist ja tõsist ohtu, peamiselt seetõttu, et klienditoe veebisaidid kontrollivad, kellel on lubatud andmekeskustes asuvatele IT-seadmetele füüsiliselt juurde pääseda. Need juhid, kes said intsidentidest teada Bloomberg Newsi vahendusel ja kinnitasid seda teavet oma turvameeskondadega, kes palusid end mitte tuvastada, kuna neil polnud õigust sellel teemal avalikult rääkida.
Registreeruge meie iganädalase küberturvalisuse uudiskirja Cyber Bulletin jaoks siin.
Resecurity'i teatatud andmekao ulatus toob esile kasvavad riskid, millega ettevõtted silmitsi seisavad, kuna nad sõltuvad kolmandatest osapooltest andmete ja IT-seadmete hoidmisel ning nende võrkude jõudmisel ülemaailmsetele turgudele. Turvaeksperdid ütlevad, et probleem on eriti terav Hiinas, mis nõuab ettevõtetelt koostööd kohalike andmeteenuste pakkujatega.
"See on õudusunenägu, mis ootab sündimist," ütles Michael Henry, USA ühe suurima andmekeskuste operaatori Digital Realty Trust Inc. endine teabejuht, kui Bloomberg rääkis juhtumitest. (Digital Realty Trusti need juhtumid ei mõjutanud). Iga andmekeskuse operaatori halvim stsenaarium on see, et ründajad saavad mingil moel füüsilise juurdepääsu klientide serveritele ja installivad pahatahtliku koodi või lisaseadmeid, ütles Henry. "Kui nad suudavad seda saavutada, võivad nad massiliselt häirida sidet ja kaubandust."
GDS ja STT GDC ütlesid, et neil pole mingeid märke, et midagi sellist juhtus ja et nende põhiteenuseid see ei mõjutanud.
Häkkeritel oli juurdepääs sisselogimismandaatidele rohkem kui aasta, enne kui nad eelmisel kuul 175,000 XNUMX dollari eest pimedasse veebi müüki postitasid, öeldes, et Resecurity ja Bloombergi poolt üle vaadatud postituse ekraanipilt olid neile selle mahust rabatud. .
"Kasutasin mõnda sihtmärki," ütlesid häkkerid postituses. "Kuid ei saa hakkama, kuna ettevõtete koguarv on üle 2,000."
Resecurity andmetel võisid e-posti aadressid ja paroolid lubada häkkeritel end klienditeeninduse veebisaitidel volitatud kasutajatena maskeerida. Turvafirma avastas andmevahemälu 2021. aasta septembris ja teatas, et leidis ka tõendeid selle kohta, et häkkerid kasutasid seda GDS-i ja STT GDC klientide kontodele juurdepääsuks alles jaanuaris, mil mõlemad andmekeskuse operaatorid sundisid Resecurity andmetel klientide parooli lähtestama.
Isegi ilma kehtivate paroolideta oleksid andmed endiselt väärtuslikud – võimaldades häkkeritel koostada sihitud andmepüügimeile inimeste vastu, kellel on kõrgetasemeline juurdepääs oma ettevõtte võrkudele, vahendab Resecurity.
Enamik mõjutatud ettevõtteid, kellega Bloomberg News ühendust võttis, sealhulgas Alibaba, Amazon, Huawei ja Walmart, keeldusid kommentaaridest. Apple ei vastanud kommentaari otsivatele sõnumitele.
Microsoft ütles oma avalduses: "Jälgime regulaarselt ohtude suhtes, mis võivad Microsofti mõjutada, ja kui võimalikud ohud tuvastatakse, võtame asjakohaseid meetmeid Microsofti ja meie klientide kaitsmiseks." Goldman Sachsi pressiesindaja ütles: "Meil on seda tüüpi rikkumiste eest kaitsmiseks kasutusele võetud täiendavad kontrollid ja oleme rahul, et meie andmed ei olnud ohus."
Autotootja BMW teatas, et on probleemist teadlik. Kuid ettevõtte pressiesindaja ütles: "Pärast hindamist on probleemil BMW ettevõtetele väga piiratud mõju ning see ei ole BMW klientidele ega tootega seotud teabele kahju tekitanud." Pressiesindaja lisas: "BMW on kutsunud GDS-i üles parandama infoturbe taset."
GDS ja STT GDC on kaks Aasia suurimat kolokatsiooniteenuste pakkujat. Nad tegutsevad üürileandjatena, rendivad oma andmekeskustes ruumi klientidele, kes paigaldavad ja haldavad seal oma IT-seadmeid, tavaliselt selleks, et olla Aasias klientidele ja äritegevusele lähemal. Synergy Research Group Inc. andmetel on GDS Hiinas kolme suurima ühispaiknemisteenuse pakkuja seas, mis on maailmas suuruselt teine turg pärast USA-d. Singapur on kuuendal kohal.
Ettevõtted on samuti läbi põimunud: ettevõtte avaldus näitab, et 2014. aastal omandas STT GDC emaettevõte Singapore Technologies Telemedia Pte 40% GDS-i osaluse.
Julgeolekuosakonna tegevjuht Gene Yoo ütles, et tema firma avastas intsidendid 2021. aastal pärast seda, kui üks selle operatiivtöötajatest tungis salaja Hiina häkkimisrühmitusse, mis oli rünnanud Taiwani valitsuse sihtmärke.
Varsti pärast seda teavitas see Yoo ja dokumentide kohaselt GDS-i ja STT GDC-d ning väikest arvu Resecurity kliente, keda see mõjutas.
Julgeolekuamet teavitas GDS-i ja STT GDC-d uuesti jaanuaris pärast seda, kui avastas häkkerite kontodele juurdepääsu, ning Yoo ja dokumentide kohaselt hoiatas turvafirma sel ajal ka Hiina ja Singapuri ametiasutusi.
Mõlemad andmekeskuse operaatorid ütlesid, et reageerisid turvaprobleemidest teavitamisele kiiresti ja alustasid sisejuurdlust.
Singapuri küberjulgeolekuagentuuri pressiesindaja Cheryl Lee ütles, et agentuur on intsidendist teadlik ja abistab ST Telemediat selles küsimuses. Hiina riiklik arvutivõrgu hädaolukordadele reageerimise tehniline meeskond/koordinatsioonikeskus, küberhädaabiga tegelev valitsusväline organisatsioon, ei vastanud kommentaari paluvatele sõnumitele.
GDS tunnistas, et klienditoe veebisaiti rikuti, ja teatas, et uuris ja parandas saidi haavatavuse 2021. aastal.
"Häkkerite sihikule võetud rakenduse ulatus ja teave on piiratud mittekriitiliste teenusefunktsioonidega, nagu piletimüügitaotluste esitamine, seadmete füüsilise tarnimise ajastamine ja hooldusaruannete läbivaatamine," seisab ettevõtte avalduses. „Rakenduse kaudu tehtud taotlused nõuavad tavaliselt võrguühenduseta järelkontrolli ja kinnitust. Arvestades rakenduse põhiolemust, ei ohustanud rikkumine meie klientide IT-tegevust.
STT GDC teatas, et kutsus 2021. aastal juhtunust teada saades kaasa välisküberjulgeolekueksperte. "Kõnealune IT-süsteem on klienditeeninduse piletimüügitööriist" ja "ei ole ühendust teiste ettevõttesüsteemide ega kriitilise andmetaristuga," teatas ettevõte. .
Ettevõte ütles, et tema klienditeenindusportaali ei rikutud 2021. aastal ja et Resecurity'i saadud mandaadid on "osaline ja aegunud loend meie klientide piletimüügirakenduste kasutajaandmetest. Kõik sellised andmed on nüüd kehtetud ega kujuta edaspidi turvariski.
STT GDC avalduse kohaselt ei täheldatud volitamata juurdepääsu ega andmete kadumist.
Sõltumata sellest, kuidas häkkerid võisid teavet kasutada, ütlesid küberjulgeolekueksperdid, et vargused näitavad, et ründajad uurivad uudseid viise rasketesse sihtmärkidesse tungimiseks.
IT-seadmete füüsiline turvalisus kolmandate osapoolte andmekeskustes ja neile juurdepääsu kontrollivad süsteemid kujutavad endast haavatavusi, mida ettevõtte turvaosakonnad sageli tähelepanuta jätavad, ütles Malcolm Harkins, endine Intel Corp. turbe- ja privaatsuspakkumine. Andmekeskuse rikkumine. varustusel võivad olla laastavad tagajärjed, ütles Harkins.
Bloomberg Newsi läbivaadatud dokumentide kohaselt said häkkerid e-posti aadresse ja paroole enam kui 3,000 GDS-i töötajale – sealhulgas tema enda töötajatele ja klientidele – ning enam kui 1,000 STT GDC-lt.
Häkkerid varastasid ka GDS-i enam kui 30,000 12345 valvekaamerast koosneva võrgu mandaadid, millest enamik põhines lihtsatel paroolidel, nagu "admin" või "adminXNUMX", näitavad dokumendid. GDS ei käsitlenud küsimust väidetava kaameravõrku mandaatide varguse või paroolide kohta.
Klienditoe veebisaitide sisselogimismandaatide arv oli erinevate klientide puhul erinev. Näiteks Alibabas oli 201 kontot, Amazonis 99, Microsoftis 32, Baidu Inc.-s 16, Bank of America Corp.-s 15, Bank of China Ltd.-s seitse, Apple'is neli ja Goldmanis kolm kontot. dokumente. Resecurity Yoo ütles, et häkkeritel on klienditeenindusportaalis ettevõtte kontole juurdepääsuks vaja ainult ühte kehtivat meiliaadressi ja parooli.
Teiste ettevõtete hulgas, kelle töötajate sisselogimisandmed Resecurity'i ja dokumentide kohaselt saadi, olid järgmised: Bharti Airtel Ltd. Indias, Bloomberg LP (Bloomberg Newsi omanik), ByteDance Ltd., Ford Motor Co., Globe Telecom Inc. Filipiinidel Mastercard Inc., Morgan Stanley, Paypal Holdings Inc., Porsche AG, SoftBank Corp., Telstra Group Ltd. Austraalias, Tencent Holdings Ltd., Verizon Communications Inc. ja Wells Fargo & Co.
Baidu ütles avalduses: "Me ei usu, et andmeid oleks ohustatud. Baidu pöörab suurt tähelepanu oma klientide andmete turvalisuse tagamisele. Hoiame sellistel asjadel tähelepanelikult silma peal ja hoiame oma tegevuse mis tahes osas valvel andmeturbele tekkivate ohtude suhtes.
Porsche esindaja ütles: "Sellel konkreetsel juhul ei ole meil mingeid märke, et see oleks ohus." SoftBanki esindaja ütles, et Hiina tütarettevõte lõpetas eelmisel aastal GDS-i kasutamise. "Klientide andmete lekkimine kohalikult Hiina ettevõttelt ei ole kinnitust leidnud, samuti ei ole see avaldanud mõju tema ärile ja teenustele," ütles esindaja.
Telstra pressiesindaja ütles: "Me ei ole teadlikud selle rikkumise mõjust ettevõttele," samas kui Mastercardi esindaja ütles: "Kuigi me jätkame selle olukorra jälgimist, ei ole me teadlikud ühestki riskist meie ettevõttele ega mõjust ettevõttele. meie tehinguvõrgustik või süsteemid.
Tencenti esindaja ütles: "Me ei ole teadlikud selle rikkumise mõjust ettevõttele. Haldame oma servereid andmekeskustes otse, andmekeskuste operaatoritel pole juurdepääsu Tencenti serverites salvestatud andmetele. Me ei ole pärast uurimist avastanud volitamata juurdepääsu oma IT-süsteemidele ja serveritele, mis on endiselt turvalised.
Wells Fargo pressiesindaja ütles, et ta kasutas GDS-i IT-taristu varundamiseks kuni 2022. aasta detsembrini. "GDS-il ei olnud juurdepääsu Wells Fargo andmetele, süsteemidele ega Wells Fargo võrgule," teatas ettevõte. Kõik teised ettevõtted keeldusid kommentaaridest või ei vastanud.
Resecurity Yoo ütles, et jaanuaris nõudis tema ettevõtte salatöötaja häkkereid, et nad demonstreeriksid, kas neil on endiselt juurdepääs kontodele. Ta ütles, et häkkerid esitasid ekraanipilte, mis näitasid, et nad logivad viie ettevõtte kontodele sisse ja navigeerivad GDS ja STT GDC veebiportaalides erinevatele lehtedele. Turvalisus võimaldas Bloomberg Newsil need ekraanipildid üle vaadata.
GDS-is pääsesid häkkerid ekraanipiltide ja Resecurity'i andmetel ligi Hiina välisvaluutakaubandussüsteemi kontole, mis on Hiina keskpanga haru, mis mängib selle riigi majanduses võtmerolli ning haldab valitsuse peamist valuuta- ja võlakauplemisplatvormi. Organisatsioon ei vastanud sõnumitele.
STT GDC-s pääsesid häkkerid juurde India riikliku Interneti-vahetuse kontodele, mis ühendab Interneti-teenuse pakkujaid üle kogu riigi, ja veel kolme Indias asuva ettevõtte: MyLink Services Pvt., Skymax Broadband Services Pvt. ja Logix InfoSecurity Pvt., ekraanipildid näitavad.
India riiklik Interneti-börs teatas Bloombergile, et ei olnud juhtumist teadlik ja keeldus täiendavatest kommentaaridest. Ükski teine India organisatsioon ei vastanud kommentaaritaotlustele.
Küsimusele väite kohta, et häkkerid pääsesid jaanuaris endiselt kontodele juurde varastatud mandaate kasutades, vastas GDS-i esindaja: "Hiljuti tuvastasime mitu uut rünnakut häkkerite poolt, kasutades vana konto juurdepääsuteavet. Oleme nende rünnakute blokeerimiseks kasutanud erinevaid tehnilisi vahendeid. Siiani ei ole me leidnud ühtegi uut edukat häkkerite sissemurdmist, mis on tingitud meie süsteemi haavatavusest.
GDS-i esindaja lisas: "Nagu me teame, ei lähtestanud üks klient selle rakenduse jaoks üht oma konto parooli, mis kuulus nende endisele töötajale. See on põhjus, miks me hiljuti sundisime kõigi kasutajate parooli lähtestama. Usume, et see on üksiksündmus. See ei ole häkkerite meie turvasüsteemist läbimurdmise tagajärg.
STT GDC teatas, et sai jaanuaris teate edasiste ohtude kohta klienditeenindusportaalidele meie India ja Tai piirkondades. "Meie senised uuringud näitavad, et andmekadu ega mõju ühelegi klienditeenindusportaalile ei ole toimunud," teatas ettevõte.
Jaanuari lõpus, pärast seda, kui GDS ja STT GDC muutsid klientide paroole, märkas Resecurity Yoo sõnul häkkerid, kes postitasid andmebaase müügiks tumedasse veebifoorumisse inglise ja hiina keeles.
"DB-d sisaldavad klienditeavet, neid saab kasutada andmepüügiks, kappidele juurdepääsuks, tellimuste ja seadmete jälgimiseks, kaugkäsitlusteks," seisis postituses. "Kes saab aidata sihitud andmepüügiga?"
Enim loetud Bloombergi Businessweekist
© 2023 Bloomberg LP
Allikas: https://finance.yahoo.com/news/hackers-scored-data-center-logins-020028440.html