Χάκερς: «Κατέλαβαν» μερικά από τα μεγαλύτερα data centers

Σε ένα επεισόδιο που υπογραμμίζει την ευπάθεια των παγκόσμιων δικτύων υπολογιστών, οι χάκερ κατέλαβαν τα διαπιστευτήρια σύνδεσης για κέντρα δεδομένων στην Ασία που χρησιμοποιούνται από μερικές από τις μεγαλύτερες επιχειρήσεις του κόσμου, μια δυνητική πηγή για κατασκοπεία ή δολιοφθορά, σύμφωνα με το Bloomberg.

Οι προηγουμένως μη αναφερόμενες κρυφές μνήμες δεδομένων περιλαμβάνουν μηνύματα ηλεκτρονικού ταχυδρομείου και κωδικούς πρόσβασης για ιστοτόπους υποστήριξης πελατών για δύο από τους μεγαλύτερους φορείς εκμετάλλευσης κέντρων δεδομένων στην Ασία: την GDS Holdings Ltd. με έδρα τη Σαγκάη και την ST Telemedia Global Data Centres με έδρα τη Σιγκαπούρη, σύμφωνα με την Resecurity Inc., η οποία παρέχει υπηρεσίες κυβερνοασφάλειας και ερευνά τους χάκερ.

Κυβερνοεπιθέσεις: Στο στόχαστρο των χάκερς χιλιάδες υπολογιστές

Επιθέσεις χάκερ

Περίπου 2.000 πελάτες της GDS και της STT GDC επηρεάστηκαν. Χάκερ έχουν συνδεθεί σε αρκετούς λογαριασμούς, συμπεριλαμβανομένης της κύριας πλατφόρμας συναλλαγών συναλλάγματος και χρέους της Κίνας και τεσσάρων άλλων από την Ινδία, σύμφωνα με το Resecurity, το οποίο είπε ότι διείσδυσε στην ομάδα χάκερ.

Δεν είναι σαφές τι έκαναν οι χάκερ με τα άλλα στοιχεία σύνδεσης. Οι πληροφορίες περιελάμβαναν διαπιστευτήρια σε διάφορους αριθμούς για ορισμένες από τις μεγαλύτερες εταιρείες του κόσμου, συμπεριλαμβανομένων των Alibaba Group Holding , Amazon, Apple, BMW, Goldman Sachs, Huawei , Microsoft και Walmart, σύμφωνα με την εταιρεία ασφαλείας και εκατοντάδες σελίδες εγγράφων που εξέτασε το Bloomberg.

Απαντώντας σε ερωτήσεις σχετικά με τα ευρήματα του Resecurity, η GDS ανέφερε ότι ένας ιστότοπος υποστήριξης πελατών παραβιάστηκε το 2021. Δεν είναι σαφές πώς οι χάκερ απέκτησαν τα δεδομένα STT GDC. Αυτή η εταιρεία είπε ότι δεν βρήκε κανένα στοιχείο ότι η πύλη εξυπηρέτησης πελατών της είχε παραβιαστεί εκείνο το έτος. Και οι δύο εταιρείες δήλωσαν ότι τα διαπιστευτήρια δεν ενέχουν κίνδυνο για τα συστήματα πληροφορικής ή τα δεδομένα των πελατών.

Σοβαρός κίνδυνος

Ωστόσο, η Resecurity και τα στελέχη τεσσάρων μεγάλων εταιρειών με έδρα τις ΗΠΑ που επηρεάστηκαν είπαν ότι τα κλεμμένα διαπιστευτήρια αντιπροσώπευαν έναν ασυνήθιστο και σοβαρό κίνδυνο, κυρίως επειδή οι ιστότοποι υποστήριξης πελατών ελέγχουν ποιος επιτρέπεται να έχει φυσική πρόσβαση στον εξοπλισμό πληροφορικής που στεγάζεται στα κέντρα δεδομένων.

Τεράστιο το πρόβλημα στην Κίνα

Το μέγεθος της απώλειας δεδομένων που αναφέρθηκε από το Resecurity υπογραμμίζει τον αυξανόμενο κίνδυνο που αντιμετωπίζουν οι εταιρείες λόγω της εξάρτησής τους από τρίτα μέρη για να στεγάσουν δεδομένα και εξοπλισμό πληροφορικής και να βοηθήσουν τα δίκτυά τους να φτάσουν στις παγκόσμιες αγορές. Οι ειδικοί ασφαλείας λένε ότι το ζήτημα είναι ιδιαίτερα οξύ στην Κίνα, η οποία απαιτεί από τις εταιρείες να συνεργάζονται με τοπικούς παρόχους υπηρεσιών δεδομένων.

Κακόβουλο λογισμικό

«Αυτός είναι ένας εφιάλτης που περιμέναμε να συμβεί», είπε ο Michael Henry, πρώην επικεφαλής πληροφοριών της Digital Realty Trust, ενός από τους μεγαλύτερους φορείς εκμετάλλευσης κέντρων δεδομένων στις ΗΠΑ, όταν ενημερώθηκε για τα περιστατικά από το Bloomberg.

Το χειρότερο σενάριο για οποιονδήποτε χειριστή κέντρου δεδομένων είναι ότι οι εισβολείς αποκτούν με κάποιο τρόπο φυσική πρόσβαση στους διακομιστές των πελατών και εγκαθιστούν κακόβουλο κώδικα ή πρόσθετο εξοπλισμό, είπε ο Henry. «Αν καταφέρουν να το επιτύχουν αυτό, μπορούν ενδεχομένως να διαταράξουν τις επικοινωνίες και το εμπόριο σε μαζική κλίμακα», προ΄σθεσε.

Η GDS και η STT GDC είπαν ότι δεν είχαν καμία ένδειξη ότι συνέβη κάτι τέτοιο και ότι οι βασικές υπηρεσίες τους δεν επηρεάστηκαν.

Ενα χρόνο πριν

Οι χάκερ είχαν πρόσβαση στα διαπιστευτήρια σύνδεσης για περισσότερο από ένα χρόνο προτού τα δημοσιεύσουν προς πώληση στο dark web τον περασμένο μήνα, έναντι 175.000 δολαρίων, λέγοντας ότι ήταν συγκλονισμένοι από τον όγκο τους, σύμφωνα με το Resecurity και ένα στιγμιότυπο οθόνης της ανάρτησης που εξετάστηκε από το Bloomberg. .

«Χρησιμοποιούσα κάποιους στόχους», ανέφεραν οι χάκερ στην ανάρτηση. «Αλλά δεν μπορώ να το χειριστώ, καθώς ο συνολικός αριθμός των εταιρειών είναι πάνω από 2.000».

Οι διευθύνσεις email και οι κωδικοί πρόσβασης θα μπορούσαν να έχουν επιτρέψει στους χάκερ να μεταμφιεστούν ως εξουσιοδοτημένοι χρήστες στους ιστότοπους εξυπηρέτησης πελατών, σύμφωνα με το Resecurity. Η εταιρεία ασφαλείας ανακάλυψε τις κρυφές μνήμες δεδομένων τον Σεπτέμβριο του 2021 και είπε επίσης ότι βρήκε στοιχεία ότι οι χάκερ τις χρησιμοποιούσαν για πρόσβαση σε λογαριασμούς πελατών GDS και STT GDC μόλις τον Ιανουάριο, όταν και οι δύο χειριστές data center ανάγκασαν την επαναφορά του κωδικού πρόσβασης πελατών, σύμφωνα με το Resecurity.

Phising

Ακόμη και χωρίς έγκυρους κωδικούς πρόσβασης, τα δεδομένα θα εξακολουθούσαν να είναι πολύτιμα – επιτρέποντας στους χάκερ να δημιουργούν στοχευμένα μηνύματα phising εναντίον ατόμων με πρόσβαση υψηλού επιπέδου στα δίκτυα των εταιρειών τους, σύμφωνα με το Resecurity.

Οι περισσότερες από τις επηρεαζόμενες εταιρείες με τις οποίες επικοινώνησε το Bloomberg News, συμπεριλαμβανομένων των Alibaba, Amazon, Huawei και Walmart, αρνήθηκαν να σχολιάσουν. Η Apple δεν απάντησε σε μηνύματα που ζητούσαν σχόλια.

H θέση της Microsoft και της Goldman

Σε δήλωσή της, η Microsoft ανέφερε: «Παρακολουθούμε τακτικά για απειλές που θα μπορούσαν να επηρεάσουν τη Microsoft και όταν εντοπίζονται πιθανές απειλές, λαμβάνουμε τα κατάλληλα μέτρα για την προστασία της Microsoft και των πελατών μας».

Εκπρόσωπος της Goldman Sachs δήλωσε: «Έχουμε θεσπίσει πρόσθετους ελέγχους για την προστασία από αυτού του είδους την παραβίαση και είμαστε ικανοποιημένοι που τα δεδομένα μας δεν κινδύνευαν».

Περιορισμένος αντίκτυπος στην BMW

Η αυτοκινητοβιομηχανία BMW ανέφερε ότι γνώριζε το θέμα. Ενας εκπρόσωπος της εταιρείας είπε: «Μετά την αξιολόγηση, το ζήτημα έχει πολύ περιορισμένο αντίκτυπο στις επιχειρήσεις της BMW και δεν έχει προκαλέσει ζημιά στους πελάτες της BMW και στις πληροφορίες σχετικά με το προϊόν». Ο εκπρόσωπος πρόσθεσε: «Η BMW κάλεσε την GDS να βελτιώσει το επίπεδο ασφάλειας των πληροφοριών».

Αλληλένδετες εταιρείες

Η GDS και η STT GDC είναι δύο από τους μεγαλύτερους παρόχους υπηρεσιών  της Ασίας. Λειτουργούν ως ιδιοκτήτες, νοικιάζοντας χώρο στα κέντρα δεδομένων τους σε πελάτες που εγκαθιστούν και διαχειρίζονται τον δικό τους εξοπλισμό πληροφορικής εκεί, συνήθως για να είναι πιο κοντά στους πελάτες και τις επιχειρηματικές δραστηριότητες στην Ασία. Η GDS συγκαταλέγεται στους τρεις κορυφαίους παρόχους συντοπισμού στην Κίνα, τη δεύτερη μεγαλύτερη αγορά υπηρεσιών στον κόσμο μετά τις ΗΠΑ, σύμφωνα με το Synergy Research Group Inc.

Οι εταιρείες είναι επίσης αλληλένδετες. Μια εταιρική κατάθεση δείχνει ότι το 2014, η Singapore Technologies Telemedia Pte, η μητρική της STT GDC, απέκτησε μερίδιο 40% στην GDS.

Τι αναφέρουν οι δύο εταιρείες

Και οι δύο φορείς εκμετάλλευσης κέντρων δεδομένων δήλωσαν ότι απάντησαν αμέσως όταν ειδοποιήθηκαν για τα ζητήματα ασφάλειας και ξεκίνησαν εσωτερικές έρευνες.

Η Cheryl Lee, εκπρόσωπος της Υπηρεσίας Κυβερνοασφάλειας της Σιγκαπούρης, είπε ότι η υπηρεσία «είναι ενήμερη για το περιστατικό και βοηθά την ST Telemedia σε αυτό το θέμα». Η Τεχνική Ομάδα Αντιμετώπισης Έκτακτης Ανάγκης του Εθνικού Δικτύου Υπολογιστών της Κίνας, ένας μη κυβερνητικός οργανισμός που χειρίζεται την απάντηση έκτακτης ανάγκης στον κυβερνοχώρο, δεν απάντησε σε μηνύματα που ζητούσαν σχολιασμό.

Η GDS αναγνώρισε ότι παραβιάστηκε ένας ιστότοπος υποστήριξης πελατών και είπε ότι ερεύνησε και διόρθωσε μια ευπάθεια στον ιστότοπο το 2021.

«Η εφαρμογή που στοχοποιήθηκε από χάκερ είναι περιορισμένη σε εύρος και πληροφορίες σε μη κρίσιμες λειτουργίες υπηρεσιών, όπως η υποβολή αιτημάτων έκδοσης εισιτηρίων, ο προγραμματισμός φυσικής παράδοσης εξοπλισμού και η εξέταση των αναφορών συντήρησης», σύμφωνα με δήλωση της εταιρείας.

«Τα αιτήματα που γίνονται μέσω της εφαρμογής απαιτούν συνήθως παρακολούθηση και επιβεβαίωση εκτός σύνδεσης. Δεδομένης της βασικής φύσης της εφαρμογής, η παραβίαση δεν είχε ως αποτέλεσμα καμία απειλή για τις λειτουργίες πληροφορικής των πελατών μας».

Η STT GDC είπε ότι προσέλκυσε εξωτερικούς εμπειρογνώμονες στον κυβερνοχώρο όταν έμαθε για το περιστατικό το 2021. «Το εν λόγω σύστημα πληροφορικής είναι εργαλείο έκδοσης εισιτηρίων εξυπηρέτησης πελατών και δεν έχει καμία σύνδεση με άλλα εταιρικά συστήματα ούτε καμία κρίσιμη υποδομή δεδομένων», ανέφερε η εταιρεία .

Η εταιρεία είπε ότι η πύλη εξυπηρέτησης πελατών της δεν παραβιάστηκε το 2021 και ότι τα διαπιστευτήρια που έλαβε το Resecurity είναι «μια μερική και ξεπερασμένη λίστα διαπιστευτηρίων χρήστη για τις εφαρμογές μας για έκδοση εισιτηρίων πελατών. Οποιαδήποτε τέτοια δεδομένα είναι πλέον άκυρα και δεν αποτελούν κίνδυνο για την ασφάλεια στο μέλλον.»

«Δεν παρατηρήθηκε μη εξουσιοδοτημένη πρόσβαση ή απώλεια δεδομένων», σύμφωνα με τη δήλωση της STT GDC.

Νέοι τρόποι διείσδυσης

Ανεξάρτητα από το πώς οι χάκερ χρησιμοποίησαν τις πληροφορίες, οι ειδικοί στον κυβερνοχώρο είπαν ότι οι κλοπές δείχνουν ότι οι εισβολείς διερευνούν νέους τρόπους διείσδυσης σε δύσκολους στόχους.

Η φυσική ασφάλεια του εξοπλισμού πληροφορικής σε κέντρα δεδομένων τρίτων και τα συστήματα για τον έλεγχο της πρόσβασης σε αυτόν αντιπροσωπεύουν ευπάθειες που συχνά παραβλέπονται από τα τμήματα εταιρικής ασφάλειας, δήλωσε ο Malcolm Harkins, πρώην επικεφαλής της προσφοράς ασφάλειας και απορρήτου της Intel Corp. Οποιαδήποτε παραβίαση του κέντρου δεδομένων«θα μπορούσε να έχει καταστροφικές συνέπειες», είπε ο Χάρκινς.

Οι χάκερ απέκτησαν διευθύνσεις email και κωδικούς πρόσβασης για περισσότερα από 3.000 άτομα στην GDS – συμπεριλαμβανομένων των δικών της υπαλλήλων και των πελατών της – και περισσότερα από 1.000 από την STT GDC, σύμφωνα με τα έγγραφα που εξέτασε το Bloomberg News.

Οι χάκερ έκλεψαν επίσης διαπιστευτήρια για το δίκτυο της GDS με περισσότερες από 30.000 κάμερες παρακολούθησης, οι περισσότερες από τις οποίες βασίζονταν σε απλούς κωδικούς πρόσβασης όπως «admin» ή «admin12345», δείχνουν τα έγγραφα. Η GDS δεν απάντησε σε ερώτηση σχετικά με την υποτιθέμενη κλοπή διαπιστευτηρίων στο δίκτυο της κάμερας ή σχετικά με τους κωδικούς πρόσβασης.

Οι εταιρείες «θύματα»

Ο αριθμός των διαπιστευτηρίων σύνδεσης για τους ιστότοπους υποστήριξης πελατών διέφερε για διαφορετικούς πελάτες. Για παράδειγμα, υπήρχαν 201 λογαριασμοί στην Alibaba, 99 στην Amazon, 32 στη Microsoft, 16 στην Baidu, 15 στην Bank of America, επτά στην Bank of China, τέσσερις στην Apple και τρεις στην Goldman, σύμφωνα με τα έγγραφα. Ο Yoo της Resecurity είπε ότι οι χάκερ χρειάζονται μόνο μία έγκυρη διεύθυνση email και κωδικό πρόσβασης για να αποκτήσουν πρόσβαση στον λογαριασμό μιας εταιρείας στην πύλη εξυπηρέτησης πελατών.

Μεταξύ των άλλων εταιρειών των οποίων λήφθηκαν τα στοιχεία σύνδεσης των εργαζομένων, σύμφωνα με το Resecurity και τα έγγραφα, ήταν: Bharti Airtel στην Ινδία, Bloomberg LP, ByteDance, Ford Motor, Globe Telecom στις Φιλιππίνες, η Mastercard, η Morgan Stanley, η Paypal Holdings, η Porsche, η SoftBank, η Telstra Group στην Αυστραλία, η Tencent Holdings, η Verizon Communications και η Wells Fargo & Co.