(Bloomberg) — U epizodi koja naglašava ranjivost globalnih računalnih mreža, hakeri su se domogli vjerodajnica za prijavu u podatkovne centre u Aziji koje koriste neke od najvećih svjetskih tvrtki, potencijalno bogatstvo za špijuniranje ili sabotažu, tvrdi tvrtka za istraživanje kibernetičke sigurnosti .
Najčitanije s Bloomberga
Prethodno neprijavljene predmemorije podataka uključuju e-poštu i lozinke za web stranice korisničke podrške za dva najveća operatera podatkovnih centara u Aziji: GDS Holdings Ltd. sa sjedištem u Šangaju i ST Telemedia Global Data Centres sa sjedištem u Singapuru, prema Resecurity Inc., koja pruža usluge kibernetičke sigurnosti i istražuje hakere. Pogođeno je oko 2,000 kupaca GDS-a i STT GDC-a. Hakeri su se prijavili na račune najmanje pet od njih, uključujući glavnu kinesku platformu za trgovanje stranom valutom i dugom te četiri druge iz Indije, navodi Resecurity, koji je rekao da se infiltrirao u hakersku skupinu.
Nije jasno što su - ako su išta - hakeri učinili s ostalim prijavama. Informacije su uključivale vjerodajnice u različitim brojevima za neke od najvećih svjetskih kompanija, uključujući Alibaba Group Holding Ltd., Amazon.com Inc., Apple Inc., BMW AG, Goldman Sachs Group Inc., Huawei Technologies Co., Microsoft Corp. i Walmart Inc., prema zaštitarskoj tvrtki i stotinama stranica dokumenata koje je Bloomberg pregledao.
Odgovarajući na pitanja o nalazima Resecurityja, GDS je u izjavi rekao da je web stranica korisničke podrške probijena 2021. Nije jasno kako su hakeri došli do podataka STT GDC. Ta je tvrtka rekla da nije pronašla dokaze da je njezin portal za korisničku podršku bio kompromitiran te godine. Obje tvrtke su izjavile da lažne vjerodajnice ne predstavljaju rizik za IT sustave ili podatke klijenata.
Međutim, odjel za sigurnost i rukovoditelji u četiri velike američke tvrtke koje su bile pogođene rekli su da ukradene vjerodajnice predstavljaju neuobičajenu i ozbiljnu opasnost, prvenstveno zato što web stranice korisničke podrške kontroliraju kome je dopušten fizički pristup IT opremi smještenoj u podatkovnim centrima. Oni rukovoditelji, koji su za incidente saznali iz Bloomberg Newsa i potvrdili informacije sa svojim sigurnosnim timovima, koji su tražili da ih se ne identificira jer nisu ovlašteni javno govoriti o tome.
Ovdje se prijavite za naš tjedni bilten o kibernetičkoj sigurnosti Cyber Bulletin.
Veličine gubitka podataka koje je izvijestio Resecurity naglašava rastući rizik s kojim se tvrtke suočavaju zbog svoje ovisnosti o trećim stranama za smještaj podataka i IT opreme i pomoć njihovim mrežama da dosegnu globalna tržišta. Sigurnosni stručnjaci kažu da je to pitanje posebno akutno u Kini, koja od korporacija zahtijeva partnerstvo s lokalnim pružateljima podatkovnih usluga.
“Ovo je noćna mora koja se čeka da se dogodi”, rekao je Michael Henry, bivši direktor informiranja Digital Realty Trust Inc., jednog od najvećih američkih operatera podatkovnih centara, kada mu je Bloomberg ispričao o incidentima. (Incidenti nisu utjecali na Digital Realty Trust). Najgori mogući scenarij za bilo kojeg operatera podatkovnog centra je da napadači nekako dobiju fizički pristup poslužiteljima klijenata i instaliraju zlonamjerni kod ili dodatnu opremu, rekao je Henry. "Ako to uspiju postići, potencijalno mogu poremetiti komunikacije i trgovinu u velikim razmjerima."
GDS i STT GDC rekli su da nemaju naznaka da se tako nešto dogodilo i da to nije utjecalo na njihove osnovne usluge.
Hakeri su imali pristup vjerodajnicama za prijavu više od godinu dana prije nego što su je prošli mjesec objavili na prodaju na mračnom webu, za 175,000 dolara, rekavši da su bili preopterećeni njihovom količinom, prema Resecurityju i snimci zaslona objave koju je pregledao Bloomberg. .
"Koristio sam neke mete", rekli su hakeri u objavi. "Ali ne mogu se nositi s tim jer je ukupan broj tvrtki veći od 2,000."
Adrese e-pošte i lozinke mogle su omogućiti hakerima da se maskiraju u ovlaštene korisnike na web stranicama korisničke službe, navodi Resecurity. Sigurnosna tvrtka otkrila je predmemorije podataka u rujnu 2021. i rekla da je također pronašla dokaze da su ih hakeri koristili za pristup računima GDS i STT GDC korisnika nedavno u siječnju, kada su oba operatera podatkovnih centara prisilila klijente na poništavanje lozinki, navodi Resecurity.
Čak i bez valjanih lozinki, podaci bi i dalje bili vrijedni — dopuštajući hakerima da kreiraju ciljane phishing e-poruke protiv ljudi s visokom razinom pristupa mrežama njihovih tvrtki, navodi Resecurity.
Većina pogođenih tvrtki koje je Bloomberg News kontaktirao, uključujući Alibabu, Amazon, Huawei i Walmart, odbile su komentirati. Apple nije odgovorio na poruke u kojima se tražio komentar.
Microsoft je u izjavi rekao: "Redovito pratimo prijetnje koje bi mogle utjecati na Microsoft i kada se potencijalne prijetnje identificiraju, poduzimamo odgovarajuće mjere kako bismo zaštitili Microsoft i naše klijente." Glasnogovornik Goldman Sachsa rekao je: "Imamo dodatne kontrole za zaštitu od ove vrste kršenja i zadovoljni smo da naši podaci nisu bili ugroženi."
Proizvođač automobila BMW rekao je da je svjestan problema. No, glasnogovornik tvrtke rekao je: "Nakon procjene, problem ima vrlo ograničen utjecaj na poslovanje BMW-a i nije prouzročio štetu kupcima BMW-a i informacijama vezanim uz proizvode." Glasnogovornik je dodao: "BMW je pozvao GDS da poboljša razinu sigurnosti informacija."
GDS i STT GDC dva su najveća pružatelja usluga "kolokacije" u Aziji. Ponašaju se kao iznajmljivači, iznajmljujući prostor u svojim podatkovnim centrima klijentima koji ondje instaliraju vlastitu IT opremu i upravljaju njome, obično kako bi bili bliže kupcima i poslovnim operacijama u Aziji. GDS je među prva tri pružatelja usluga kolokacije u Kini, drugom najvećem tržištu za ovu uslugu u svijetu nakon SAD-a, prema Synergy Research Group Inc. Singapur je na šestom mjestu.
Kompanije su također isprepletene: korporativna dokumentacija pokazuje da je 2014. Singapore Technologies Telemedia Pte, roditelj STT GDC-a, stekao 40% udjela u GDS-u.
Glavni izvršni direktor odjela za sigurnost Gene Yoo rekao je da je njegova tvrtka otkrila incidente 2021. nakon što je jedan od njezinih operativaca otišao na tajni zadatak kako bi se infiltrirao u hakersku skupinu u Kini koja je napala vladine ciljeve u Tajvanu.
Ubrzo nakon toga, upozorio je GDS i STT GDC i mali broj Resecurity klijenata koji su bili pogođeni, prema Yoo-u i dokumentima.
Resecurity je ponovno obavijestio GDS i STT GDC u siječnju nakon što su otkrili da hakeri pristupaju računima, a zaštitarska tvrtka je također upozorila vlasti u Kini i Singapuru u to vrijeme, prema Yoou i dokumentima.
Oba operatera podatkovnih centara rekla su da su promptno reagirala kada su primili obavijest o sigurnosnim problemima i započeli interne istrage.
Cheryl Lee, glasnogovornica Singapurske agencije za kibernetičku sigurnost, rekla je da je agencija "svjesna incidenta i pomaže ST Telemediji po ovom pitanju." Tehnički tim za odgovor na hitne slučajeve nacionalne računalne mreže/Centar za koordinaciju Kine, nevladina organizacija koja se bavi hitnim odgovorom u kibernetičkoj situaciji, nije odgovorio na poruke u kojima se tražio komentar.
GDS je priznao da je web stranica korisničke podrške probijena i rekao je da je istražio i popravio ranjivost na stranici 2021.
"Aplikacija koja je bila meta hakera ograničena je u opsegu i informacijama na nekritične uslužne funkcije, kao što su podnošenje zahtjeva za izdavanje ulaznica, zakazivanje fizičke isporuke opreme i pregled izvješća o održavanju", navodi se u priopćenju tvrtke. “Zahtjevi upućeni putem aplikacije obično zahtijevaju offline praćenje i potvrdu. S obzirom na osnovnu prirodu aplikacije, povreda nije rezultirala nikakvom prijetnjom IT operacijama naših korisnika.”
STT GDC rekao je da je doveo vanjske stručnjake za kibernetičku sigurnost kada je saznao za incident 2021. "Dotični IT sustav je alat za kupnju ulaznica" i "nema veze s drugim korporativnim sustavima niti bilo kakvom kritičnom podatkovnom infrastrukturom", rekla je tvrtka .
Tvrtka je rekla da njezin portal korisničke službe nije probijen 2021. i da su vjerodajnice koje je prikupio Resecurity “djelomičan i zastarjeli popis korisničkih vjerodajnica za naše aplikacije za kupnju ulaznica. Svi takvi podaci sada su nevažeći i ne predstavljaju sigurnosni rizik u budućnosti.”
"Nije primijećen neovlašteni pristup ili gubitak podataka", navodi se u izjavi STT GDC-a.
Bez obzira na to kako su hakeri možda upotrijebili informacije, stručnjaci za kibernetičku sigurnost kažu da krađe pokazuju da napadači istražuju nove načine infiltracije u teške mete.
Fizička sigurnost IT opreme u podatkovnim centrima trećih strana i sustavi za kontrolu pristupa njoj predstavljaju ranjivosti koje korporativni odjeli za sigurnost često zanemaruju, rekao je Malcolm Harkins, bivši šef ponude za sigurnost i privatnost tvrtke Intel Corp. Svako ometanje podatkovnog centra oprema "mogla imati razorne posljedice", rekao je Harkins.
Hakeri su došli do adresa e-pošte i lozinki za više od 3,000 ljudi u GDS-u — uključujući vlastite zaposlenike i zaposlenike njegovih kupaca — i više od 1,000 od STT GDC-a, prema dokumentima koje je pregledao Bloomberg News.
Hakeri su također ukrali vjerodajnice za GDS-ovu mrežu od više od 30,000 nadzornih kamera, od kojih se većina oslanjala na jednostavne lozinke kao što su "admin" ili "admin12345", pokazuju dokumenti. GDS nije odgovorio na pitanje o navodnoj krađi vjerodajnica za mrežu kamera ili o lozinkama.
Broj vjerodajnica za prijavu na web stranice korisničke podrške razlikovao se za različite kupce. Na primjer, postojao je 201 račun u Alibabi, 99 u Amazonu, 32 u Microsoftu, 16 u Baidu Inc., 15 u Bank of America Corp., sedam u Bank of China Ltd., četiri u Appleu i tri u Goldmanu, prema podacima dokumenti. Yoo iz Resecurityja rekao je da hakeri trebaju samo jednu valjanu adresu e-pošte i lozinku za pristup računu tvrtke na portalu korisničke službe.
Među ostalim tvrtkama čiji su podaci za prijavu radnika dobiveni, prema Resecurityju i dokumentima, bile su: Bharti Airtel Ltd. u Indiji, Bloomberg LP (vlasnik Bloomberg Newsa), ByteDance Ltd., Ford Motor Co., Globe Telecom Inc. . na Filipinima, Mastercard Inc., Morgan Stanley, Paypal Holdings Inc., Porsche AG, SoftBank Corp., Telstra Group Ltd. u Australiji, Tencent Holdings Ltd., Verizon Communications Inc. i Wells Fargo & Co.
Baidu je u priopćenju rekao: “Ne vjerujemo da su podaci ugroženi. Baidu veliku pozornost posvećuje sigurnosti podataka naših kupaca. Pozorno ćemo pratiti stvari kao što je ova i ostati na oprezu zbog bilo kakvih prijetnji sigurnosti podataka u bilo kojem dijelu našeg poslovanja.”
Predstavnik Porschea rekao je: "U ovom konkretnom slučaju nemamo naznaka da je postojao bilo kakav rizik." Predstavnik SoftBanka rekao je da je kineska podružnica prošle godine prestala koristiti GDS. "Nije potvrđeno nikakvo curenje podataka o klijentima iz lokalne kineske tvrtke, niti je bilo ikakvog utjecaja na njezino poslovanje i usluge", rekao je predstavnik.
Glasnogovornik Telstre rekao je: "Nismo svjesni bilo kakvog utjecaja na poslovanje nakon ove povrede", dok je predstavnik Mastercarda rekao: "Iako nastavljamo pratiti ovu situaciju, nismo svjesni bilo kakvih rizika za naše poslovanje ili utjecaja na naše transakcijske mreže ili sustava."
Predstavnik Tencenta rekao je: "Nismo svjesni nikakvog utjecaja na poslovanje nakon ove povrede. Svojim poslužiteljima unutar podatkovnih centara upravljamo izravno, pri čemu operateri podatkovnih centara nemaju pristup nikakvim podacima pohranjenim na Tencent poslužiteljima. Nismo otkrili nikakav neovlašteni pristup našim IT sustavima i poslužiteljima nakon istrage, koji su i dalje sigurni.”
Glasnogovornik Wells Farga rekao je da je koristio GDS za sigurnosnu IT infrastrukturu do prosinca 2022. "GDS nije imao pristup Wells Fargo podacima, sustavima ili Wells Fargo mreži", rekla je tvrtka. Ostale tvrtke sve su odbile komentirati ili nisu odgovorile.
Yoo iz Resecurityja rekao je da je u siječnju tajni operativac njegove tvrtke vršio pritisak na hakere da pokažu imaju li još uvijek pristup računima. Hakeri su dali snimke zaslona koje pokazuju kako se prijavljuju na račune za pet tvrtki i idu na različite stranice na GDS i STT GDC online portalima, rekao je. Sigurnosna služba dopustila je Bloomberg Newsu da pregleda te snimke zaslona.
U GDS-u, hakeri su pristupili računu za China Foreign Exchange Trade System, ogranak kineske središnje banke koji igra ključnu ulogu u gospodarstvu te zemlje, upravljajući glavnom vladinom platformom za trgovanje devizama i dugom, prema snimkama zaslona i Resecurityju. Organizacija nije odgovorila na poruke.
U STT GDC-u, hakeri su pristupili računima za National Internet Exchange of India, organizaciju koja povezuje pružatelje internetskih usluga diljem zemlje, i tri druga sa sjedištem u Indiji: MyLink Services Pvt., Skymax Broadband Services Pvt. i Logix InfoSecurity Pvt., snimke zaslona pokazuju.
Do kojeg je došao Bloomberg, Nacionalna internetska razmjena Indije rekla je da nije upoznata s incidentom i odbila daljnje komentare. Nijedna druga organizacija u Indiji nije odgovorila na zahtjeve za komentar.
Upitan o tvrdnji da su hakeri još uvijek pristupali računima u siječnju koristeći ukradene vjerodajnice, predstavnik GDS-a je rekao: “Nedavno smo otkrili više novih napada hakera koji koriste stare informacije o pristupu računu. Koristili smo različite tehničke alate za blokiranje ovih napada. Do sada nismo pronašli nijednu novu uspješnu provalu hakera zbog ranjivosti našeg sustava.”
Predstavnik GDS-a je dodao: “Kao što znamo, jedan korisnik nije poništio jednu od svojih lozinki za račun na ovoj aplikaciji koja je pripadala njihovom bivšem zaposleniku. To je razlog zašto smo nedavno prisilno resetirali lozinku za sve korisnike. Vjerujemo da je ovo izolirani događaj. To nije rezultat hakerskog proboja kroz naš sigurnosni sustav.”
STT GDC rekao je da je u siječnju primio obavijest o daljnjim prijetnjama portalima korisničke službe u "našim regijama Indije i Tajlanda". "Naše dosadašnje istrage pokazuju da nije bilo gubitka podataka ili utjecaja na bilo koji od ovih portala korisničke službe", rekla je tvrtka.
Krajem siječnja, nakon što su GDS i STT GDC promijenili korisničke lozinke, Resecurity je uočio hakere kako objavljuju baze podataka za prodaju na forumu mračnog weba, na engleskom i kineskom, navodi Yoo.
“DB-ovi sadrže informacije o kupcima, mogu se koristiti za krađu identiteta, pristup ormarima, praćenje narudžbi i opreme, narudžbe na daljinu”, navodi se u objavi. "Tko može pomoći s ciljanim krađom identiteta?"
Najčitanije s Bloomberg Businessweeka
© 2023 Bloomberg LP
Izvor: https://finance.yahoo.com/news/hackers-scored-data-center-logins-020028440.html