(Bloomberg) — У эпізодзе, які падкрэслівае ўразлівасць глабальных камп'ютэрных сетак, хакеры завалодалі ўліковымі дадзенымі для ўваходу ў цэнтры апрацоўкі дадзеных у Азіі, якія выкарыстоўваюцца некаторымі з найбуйнейшых сусветных кампаній, патэнцыйна добрае месца для шпіянажу або сабатажу, паводле даследчай фірмы кібербяспекі .
Найбольш чытаецца з Bloomberg
Раней кэшы даных, пра якія не паведамлялася, ўключаюць адрасы электроннай пошты і паролі для вэб-сайтаў падтрымкі кліентаў двух найбуйнейшых аператараў цэнтраў апрацоўкі дадзеных у Азіі: шанхайскай GDS Holdings Ltd. і сінгапурскай ST Telemedia Global Data Centres, паведамляе Resecurity Inc., якая забяспечвае службы кібербяспекі і расследуе хакераў. Пацярпелі каля 2,000 кліентаў GDS і STT GDC. Хакеры ўвайшлі ў акаўнты па меншай меры пяці з іх, у тым ліку ў кітайскай галоўнай гандлёвай платформе замежнай валюты і запазычанасці і чатырох іншых з Індыі, паведамляе Resecurity, якая заявіла, што пранікла ў групу хакераў.
Незразумела, што хакеры рабілі з іншымі лагінамі, калі наогул. Інфармацыя ўключала ў сябе ўліковыя дадзеныя ў рознай колькасці для некаторых з найбуйнейшых сусветных кампаній, у тым ліку Alibaba Group Holding Ltd., Amazon.com Inc., Apple Inc., BMW AG, Goldman Sachs Group Inc., Huawei Technologies Co., Microsoft Corp., і Walmart Inc., паводле ахоўнай фірмы і сотняў старонак дакументаў, прагледжаных Bloomberg.
Адказваючы на пытанні аб высновах Resecurity, у заяве GDS гаворыцца, што сайт падтрымкі кліентаў быў узламаны ў 2021 годзе. Незразумела, як хакеры атрымалі даныя STT GDC. Гэтая кампанія заявіла, што не знайшла доказаў таго, што яе партал абслугоўвання кліентаў быў скампраметаваны ў тым годзе. Абедзве кампаніі заявілі, што падробленыя ўліковыя дадзеныя не ўяўляюць небяспекі для ІТ-сістэм і даных кліентаў.
Тым не менш, служба бяспекі і кіраўнікі чатырох буйных амерыканскіх кампаній, якія пацярпелі, заявілі, што скрадзеныя ўліковыя дадзеныя ўяўляюць сабой незвычайную і сур'ёзную небяспеку, перш за ўсё таму, што вэб-сайты падтрымкі кліентаў кантралююць, каму дазволены фізічны доступ да ІТ-абсталявання, размешчанага ў цэнтрах апрацоўкі дадзеных. Тыя кіраўнікі, якія даведаліся аб інцыдэнтах з Bloomberg News і пацвердзілі інфармацыю са сваімі службамі бяспекі, якія папрасілі не называць іх ідэнтыфікацыю, таму што яны не ўпаўнаважаны публічна казаць пра гэта.
Падпішыцеся на нашу штотыднёвую рассылку па кібербяспецы Cyber Bulletin тут.
Велічыня страты даных, пра якую паведамляе Resecurity, падкрэслівае рост рызыкі, з якой сутыкаюцца кампаніі з-за залежнасці ад трэціх бакоў у размяшчэнні дадзеных і ІТ-абсталявання і дапамозе іх сеткам выйсці на сусветныя рынкі. Эксперты па бяспецы кажуць, што гэтае пытанне асабліва востра стаіць у Кітаі, які патрабуе ад карпарацый супрацоўнічаць з мясцовымі пастаўшчыкамі паслуг перадачы дадзеных.
«Гэта кашмар, які чакае таго, каб здарыцца», — сказаў Майкл Генры, былы дырэктар па інфармацыі Digital Realty Trust Inc., аднаго з найбуйнейшых аператараў цэнтра апрацоўкі дадзеных у ЗША, калі Bloomberg распавёў пра інцыдэнты. (Інцыдэнты не закранулі Digital Realty Trust). Найгоршы сцэнар для любога аператара цэнтра апрацоўкі дадзеных заключаецца ў тым, што зламыснікі нейкім чынам атрымліваюць фізічны доступ да сервераў кліентаў і ўсталёўваюць шкоднасны код або дадатковае абсталяванне, сказаў Генры. «Калі ім удасца дасягнуць гэтага, яны патэнцыйна могуць парушыць сувязь і гандаль у масавых маштабах».
GDS і STT GDC заявілі, што ў іх няма прыкмет таго, што нешта падобнае адбылося, і што гэта не паўплывала на іх асноўныя паслугі.
Хакеры мелі доступ да ўліковых дадзеных для ўваходу на працягу больш за год, перш чым размясціць іх для продажу ў цёмным сеціве ў мінулым месяцы за 175,000 XNUMX долараў, заявіўшы, што яны былі ашаломлены іх аб'ёмам, паведамляе Resecurity і скрыншот паведамлення, разгледжаны Bloomberg. .
«Я выкарыстаў некалькі мішэняў», - сказалі хакеры ў паведамленні. «Але не ў стане справіцца, бо агульная колькасць кампаній перавышае 2,000».
Па дадзеных Resecurity, адрасы электроннай пошты і паролі маглі дазволіць хакерам маскіравацца пад аўтарызаваных карыстальнікаў на сайтах абслугоўвання кліентаў. Ахоўная фірма выявіла кэш даных у верасні 2021 года і заявіла, што таксама знайшла доказы таго, што хакеры выкарыстоўвалі іх для доступу да ўліковых запісаў кліентаў GDS і STT GDC яшчэ ў студзені, калі абодва аператары цэнтра апрацоўкі дадзеных прымусова скідвалі паролі кліентаў, паведамляе Resecurity.
Паводле Resecurity, нават без сапраўдных пароляў дадзеныя ўсё роўна былі б каштоўнымі — дазваляючы хакерам ствараць мэтанакіраваныя фішынгавыя электронныя лісты супраць людзей з высокім узроўнем доступу да сетак іх кампаній.
Большасць пацярпелых кампаній, з якімі звязалася Bloomberg News, у тым ліку Alibaba, Amazon, Huawei і Walmart, адмовіліся ад каментароў. Apple не адказала на паведамленні з просьбай каментаваць.
У заяве Microsoft гаворыцца: «Мы рэгулярна адсочваем пагрозы, якія могуць паўплываць на Microsoft, і пры выяўленні патэнцыйных пагроз мы прымаем адпаведныя меры для абароны Microsoft і нашых кліентаў». Прадстаўнік Goldman Sachs сказаў: «У нас ёсць дадатковыя сродкі кантролю для абароны ад такога тыпу парушэння, і мы задаволены тым, што нашы дадзеныя не былі пад пагрозай».
Аўтавытворца BMW заявіў, што ведае пра праблему. Але прадстаўнік кампаніі сказаў: «Пасля ацэнкі праблема мае вельмі абмежаваны ўплыў на бізнес BMW і не прычыніла шкоды кліентам BMW і інфармацыі, звязанай з прадуктам». Прэс-сакратар дадаў: «BMW заклікала GDS павысіць узровень інфармацыйнай бяспекі».
GDS і STT GDC з'яўляюцца двума найбуйнейшымі ў Азіі пастаўшчыкамі паслуг сумеснага размяшчэння. Яны дзейнічаюць як арэндадаўцы, арандуючы памяшканне ў сваіх цэнтрах апрацоўкі дадзеных кліентам, якія ўсталёўваюць там сваё ІТ-абсталяванне і кіруюць ім, як правіла, каб быць бліжэй да кліентаў і бізнес-аперацый у Азіі. Па дадзеных Synergy Research Group Inc., GDS уваходзіць у тройку вядучых пастаўшчыкоў паслуг размяшчэння ў Кітаі, другім па велічыні рынку паслуг у свеце пасля ЗША. Сінгапур займае шостае месца.
Кампаніі таксама ўзаемазвязаны: карпаратыўная дакументацыя паказвае, што ў 2014 годзе Singapore Technologies Telemedia Pte, матчыная кампанія STT GDC, набыла 40% акцый GDS.
Галоўны выканаўчы дырэктар службы бяспекі Джын Ю сказаў, што яго фірма выявіла інцыдэнты ў 2021 годзе пасля таго, як адзін з яе аператыўнікаў пайшоў пад прыкрыццё, каб пранікнуць у хакерскую групу ў Кітаі, якая атакавала ўрадавыя аб'екты на Тайвані.
Неўзабаве пасля гэтага ён папярэдзіў GDS і STT GDC і невялікую колькасць кліентаў Resecurity, якія пацярпелі, згодна з Yoo і дакументамі.
Служба бяспекі зноў апавясціла GDS і STT GDC у студзені пасля выяўлення доступу хакераў да ўліковых запісаў, і ахоўная фірма таксама папярэдзіла ўлады Кітая і Сінгапура, згодна з Ю і дакументамі.
Абодва аператары цэнтраў апрацоўкі дадзеных заявілі, што імгненна адрэагавалі на паведамленні аб праблемах бяспекі і пачалі ўнутранае расследаванне.
Шэрыл Лі, прэс-сакратар Агенцтва кібербяспекі Сінгапура, заявіла, што агенцтва «ведае пра інцыдэнт і дапамагае ST Telemedia па гэтым пытанні». Няўрадавая арганізацыя Нацыянальнай камп'ютэрнай сеткі рэагавання на надзвычайныя сітуацыі/каардынацыйны цэнтр Кітая, якая займаецца рэагаваннем на надзвычайныя сітуацыі ў кібернетычнай сферы, не адказала на паведамленні з просьбай каментаваць.
GDS прызнала, што сайт падтрымкі кліентаў быў узламаны, і заявіла, што правяла расследаванне і выправіла ўразлівасць на сайце ў 2021 годзе.
«Прыкладанне, якое было мішэнню хакераў, абмежавана па аб'ёме і інфармацыі да некрытычных сэрвісных функцый, такіх як запыты на афармленне квіткоў, планаванне фізічнай дастаўкі абсталявання і прагляд справаздач аб тэхнічным абслугоўванні», - гаворыцца ў заяве кампаніі. «Запыты, зробленыя праз прыкладанне, звычайна патрабуюць пазасеткавага кантролю і пацверджання. Улічваючы асноўную прыроду прыкладання, парушэнне не прывяло да пагрозы ІТ-аперацыям нашых кліентаў».
STT GDC заявіла, што прыцягнула знешніх экспертаў па кібербяспецы, калі даведалася пра інцыдэнт у 2021 годзе. «ІТ-сістэма, пра якую ідзе гаворка, з'яўляецца інструментам продажу білетаў для абслугоўвання кліентаў» і «не мае сувязі ні з іншымі карпаратыўнымі сістэмамі, ні з якой-небудзь важнай інфраструктурай даных», - заявіла кампанія. .
Кампанія заявіла, што яе партал абслугоўвання кліентаў не быў узламаны ў 2021 годзе і што ўліковыя даныя, атрыманыя Resecurity, з'яўляюцца «частковым і састарэлым спісам уліковых даных карыстальнікаў для нашых кліенцкіх прыкладанняў па продажы квіткоў. Любыя такія дадзеныя цяпер несапраўдныя і не ўяўляюць небяспекі для бяспекі ў будучыні».
«Ніякага несанкцыянаванага доступу або страты дадзеных не назіралася», - гаворыцца ў заяве STT GDC.
Незалежна ад таго, як хакеры маглі выкарыстаць інфармацыю, эксперты па кібербяспецы заявілі, што крадзяжы паказваюць, што зламыснікі шукаюць новыя спосабы пракрасціся ў цяжкія мэты.
Фізічная бяспека ІТ-абсталявання ў старонніх цэнтрах апрацоўкі дадзеных і сістэмы кантролю доступу да яго ўяўляюць сабой уразлівасці, якія часта не заўважаюцца аддзеламі карпаратыўнай бяспекі, сказаў Малькальм Харкінс, былы кіраўнік аддзела бяспекі і прыватнасці карпарацыі Intel. Любое ўмяшанне ў цэнтр апрацоўкі дадзеных абсталяванне "можа мець разбуральныя наступствы", сказаў Харкінс.
Згодна з дакументамі, прагледжанымі Bloomberg News, хакеры атрымалі адрасы электроннай пошты і паролі для больш чым 3,000 чалавек у GDS — у тым ліку яе ўласных супрацоўнікаў і кліентаў — і больш за 1,000 ад STT GDC.
Хакеры таксама скралі ўліковыя дадзеныя для сеткі GDS з больш чым 30,000 12345 камер назірання, большасць з якіх абапіралася на простыя паролі, такія як «admin» або «adminXNUMX», паказваюць дакументы. GDS не звярталася з пытаннем аб меркаваным крадзяжы ўліковых дадзеных у сетцы камеры або аб паролях.
Колькасць уліковых дадзеных для ўваходу на сайты падтрымкі кліентаў адрознівалася для розных кліентаў. Напрыклад, у Alibaba быў 201 рахунак, 99 у Amazon, 32 у Microsoft, 16 у Baidu Inc., 15 у Bank of America Corp., сем у Bank of China Ltd., чатыры ў Apple і тры ў Goldman. дакументы. Ю з Resecurity сказаў, што хакерам патрэбны толькі адзін сапраўдны адрас электроннай пошты і пароль для доступу да ўліковага запісу кампаніі на партале абслугоўвання кліентаў.
Сярод іншых кампаній, чые дадзеныя для ўваходу ў сістэму былі атрыманы, паводле Resecurity і дакументаў, былі: Bharti Airtel Ltd. у Індыі, Bloomberg LP (уладальнік Bloomberg News), ByteDance Ltd., Ford Motor Co., Globe Telecom Inc. .на Філіпінах, Mastercard Inc., Morgan Stanley, Paypal Holdings Inc., Porsche AG, SoftBank Corp., Telstra Group Ltd. у Аўстраліі, Tencent Holdings Ltd., Verizon Communications Inc. і Wells Fargo & Co.
У сваёй заяве Baidu сказаў: «Мы не лічым, што якія-небудзь дадзеныя былі скампраметаваныя. Baidu надае вялікую ўвагу забеспячэнню бяспекі даных нашых кліентаў. Мы будзем уважліва сачыць за падобнымі пытаннямі і заставацца напагатове да любых узнікаючых пагроз бяспецы даных у любой частцы нашай дзейнасці».
Прадстаўнік Porsche сказаў: «У гэтым канкрэтным выпадку ў нас няма ніякіх прыкмет таго, што была нейкая рызыка». Прадстаўнік SoftBank сказаў, што кітайская даччыная кампанія спыніла выкарыстанне GDS у мінулым годзе. «Ніякай уцечкі інфармацыі аб кліентах з мясцовай кітайскай кампаніі не пацверджана, і не было ніякага ўплыву на яе бізнес і паслугі», - сказаў прадстаўнік.
Прадстаўнік Telstra сказаў: «Нам невядома аб якім-небудзь уплыве на бізнес пасля гэтага парушэння», у той час як прадстаўнік Mastercard сказаў: «Хоць мы працягваем сачыць за гэтай сітуацыяй, мы не ведаем аб якіх-небудзь рызыках для нашага бізнесу або ўздзеяння на наша транзакцыйная сетка або сістэмы».
Прадстаўнік Tencent сказаў: «Нам не вядома пра нейкі ўплыў на бізнес пасля гэтага парушэння. Мы кіруем нашымі серверамі ў цэнтрах апрацоўкі дадзеных непасрэдна, а аператары цэнтра апрацоўкі дадзеных не маюць доступу ні да якіх даных, якія захоўваюцца на серверах Tencent. Пасля расследавання мы не выявілі несанкцыянаванага доступу да нашых ІТ-сістэм і сервераў, якія застаюцца бяспечнымі».
Прадстаўнік Wells Fargo заявіў, што кампанія выкарыстоўвала GDS для рэзервовага капіравання ІТ-інфраструктуры да снежня 2022 года. «GDS не мела доступу да даных Wells Fargo, сістэм або сеткі Wells Fargo», — заявілі ў кампаніі. Астатнія кампаніі адмовіліся ад каментароў або не адказалі.
Ю з Resecurity сказаў, што ў студзені супрацоўнік яго фірмы пад прыкрыццём патрабаваў ад хакераў паказаць, ці ёсць у іх яшчэ доступ да акаўнтаў. Хакеры прадставілі скрыншоты, якія паказваюць, як яны ўваходзяць ва ўліковыя запісы пяці кампаній і пераходзяць на розныя старонкі інтэрнэт-парталаў GDS і STT GDC, сказаў ён. Служба бяспекі дазволіла Bloomberg News праглядзець гэтыя скрыншоты.
У GDS хакеры атрымалі доступ да ўліковага запісу China Foreign Exchange Trade System, падраздзялення цэнтральнага банка Кітая, які адыгрывае ключавую ролю ў эканоміцы гэтай краіны, кіруючы асноўнай урадавай платформай для гандлю замежнай валютай і запазычанасцю, паводле скрыншотаў і Resecurity. Арганізацыя не адказала на паведамленні.
У STT GDC хакеры атрымалі доступ да акаўнтаў Нацыянальнай інтэрнэт-біржы Індыі, арганізацыі, якая злучае інтэрнэт-правайдэраў па ўсёй краіне, і трох іншых, якія базуюцца ў Індыі: MyLink Services Pvt., Skymax Broadband Services Pvt. і Logix InfoSecurity Pvt. паказваюць скрыншоты.
Нацыянальная інтэрнэт-біржа Індыі паведаміла, што не ведае пра інцыдэнт, і адмовілася ад далейшых каментароў. Ні адна з іншых арганізацый у Індыі не адказала на просьбы аб каментарыях.
Адказваючы на пытанне аб сцвярджэнні аб тым, што хакеры ўсё яшчэ атрымлівалі доступ да ўліковых запісаў у студзені, выкарыстоўваючы скрадзеныя ўліковыя дадзеныя, прадстаўнік GDS сказаў: «Нядаўна мы выявілі некалькі новых нападаў з боку хакераў з выкарыстаннем старой інфармацыі аб доступе да ўліковага запісу. Мы выкарыстоўвалі розныя тэхнічныя інструменты, каб блакаваць гэтыя атакі. Да гэтага часу мы не выявілі ніводнага новага паспяховага ўзлому з боку хакераў з-за ўразлівасці нашай сістэмы».
Прадстаўнік GDS дадаў: «Як нам вядома, адзін кліент не скінуў адзін са сваіх пароляў уліковага запісу ў гэтым дадатку, які належаў іх былому супрацоўніку. Гэта прычына, па якой мы нядаўна прымусова скінулі пароль для ўсіх карыстальнікаў. Мы лічым, што гэта адзінкавая падзея. Гэта не вынік хакерскага ўзлому нашай сістэмы бяспекі».
STT GDC заявіла, што ў студзені атрымала апавяшчэнне аб новых пагрозах парталам абслугоўвання кліентаў у «нашых рэгіёнах Індыі і Тайланда». «Нашы расследаванні на сённяшні дзень паказваюць, што не было страты дадзеных або ўздзеяння на любы з гэтых парталаў абслугоўвання кліентаў», - заявілі ў кампаніі.
У канцы студзеня, пасля таго як GDS і STT GDC змянілі паролі кліентаў, Resecurity заўважыла хакераў, якія размяшчалі базы дадзеных для продажу на форуме цёмнай сеткі на англійскай і кітайскай мовах, паведамляе Yoo.
«БД змяшчаюць інфармацыю аб кліентах, могуць выкарыстоўвацца для фішынгу, доступу да шаф, маніторынгу заказаў і абсталявання, дыстанцыйных заказаў», — гаворыцца ў паведамленні. «Хто можа дапамагчы з мэтанакіраваным фішынгам?»
Самы чытаны з Bloomberg Businessweek
© 2023 Bloomberg LP
Крыніца: https://finance.yahoo.com/news/hackers-scored-data-center-logins-020028440.html