黑客攻擊數(shù)據(jù)中心以竊取全球大型企業(yè)的信息

責(zé)任編輯:cres

作者:Apurva Venkat

2023-02-28 13:14:37

來源:企業(yè)網(wǎng)D1Net

原創(chuàng)

根據(jù)行業(yè)媒體的報(bào)道,一些大型企業(yè)的數(shù)據(jù)中心遭到了惡意攻擊并且被竊取了訪問憑證,其中包括亞馬遜、蘋果、高盛和微軟等行業(yè)巨頭。

網(wǎng)絡(luò)安全服務(wù)商Resecsecurity公司表示,在過去一年半的時(shí)間里,該公司已經(jīng)觀察到針對(duì)全球多個(gè)國(guó)家和地區(qū)的多個(gè)數(shù)據(jù)中心的網(wǎng)絡(luò)攻擊,導(dǎo)致一些全球規(guī)模最大的企業(yè)的信息泄露,并在暗網(wǎng)上發(fā)布訪問憑證。
 
Resecsecurity公司在一篇博客文章中指出:“針對(duì)數(shù)據(jù)中心攻擊的惡意網(wǎng)絡(luò)活動(dòng)在供應(yīng)鏈網(wǎng)絡(luò)安全方面開創(chuàng)了重要的先例。我們預(yù)計(jì)網(wǎng)絡(luò)攻擊者將會(huì)增加針對(duì)數(shù)據(jù)中心及其客戶相關(guān)的惡意網(wǎng)絡(luò)活動(dòng)。”
 
Resecsecurity公司并沒有透露受到攻擊的大型企業(yè)的名稱,但根據(jù)彭博社的一篇報(bào)道,網(wǎng)絡(luò)攻擊者竊取了包括阿里巴巴、亞馬遜、蘋果、寶馬、高盛、華為、微軟和沃爾瑪在內(nèi)的大型公司的數(shù)據(jù)中心訪問憑證。彭博社表示,已經(jīng)查閱了Resecsecurity公司調(diào)查的與該惡意活動(dòng)有關(guān)的文件。
 
Resecsecurity公司在2021年9月首次發(fā)出警告,網(wǎng)絡(luò)攻擊者將發(fā)動(dòng)針對(duì)數(shù)據(jù)中心的惡意攻擊,并在2022年和2023年1月進(jìn)一步發(fā)布了另外兩次惡意攻擊事件。該公司表示,此次惡意攻擊的目標(biāo)是從數(shù)據(jù)中心主要客戶的企業(yè)和政府機(jī)構(gòu)那里竊取敏感數(shù)據(jù)。
 
客戶記錄被發(fā)布到暗網(wǎng)上
 
最近,在各種惡意攻擊中竊取的與大型企業(yè)數(shù)據(jù)中心有關(guān)的訪問憑證被發(fā)布在地下論壇breach上,并被研究人員檢測(cè)到。其特定數(shù)據(jù)緩存的一些片段也被各種威脅行為者在Telegram上共享。
 
Resecsecurity公司在暗網(wǎng)上發(fā)現(xiàn)了幾個(gè)來自亞洲的網(wǎng)絡(luò)攻擊者,他們?cè)谛袆?dòng)過程中設(shè)法訪問了客戶記錄,并從一個(gè)或多個(gè)與幾個(gè)企業(yè)數(shù)據(jù)中心使用的特定應(yīng)用程序和系統(tǒng)相關(guān)的數(shù)據(jù)庫中竊取了這些記錄。
 
在其中一個(gè)案例中,最初的訪問權(quán)限可能是通過與其他應(yīng)用程序和系統(tǒng)集成的易受攻擊的幫助臺(tái)或票據(jù)管理模塊獲得的,這能夠使網(wǎng)絡(luò)攻擊者進(jìn)行橫向移動(dòng)。
 
Resecsecurity公司表示,網(wǎng)絡(luò)攻擊者能夠提取一份帶有相關(guān)視頻流標(biāo)識(shí)符的閉路電視攝像頭列表,用于監(jiān)控?cái)?shù)據(jù)中心運(yùn)營(yíng)環(huán)境,以及與數(shù)據(jù)中心IT人員和客戶相關(guān)的憑據(jù)信息。
 
在收集了憑據(jù)之后,網(wǎng)絡(luò)攻擊者執(zhí)行主動(dòng)探測(cè),以收集有關(guān)管理數(shù)據(jù)中心運(yùn)營(yíng)的企業(yè)客戶代表、購(gòu)買的服務(wù)列表和部署的設(shè)備的信息。
 
惡意活動(dòng)以客戶端驗(yàn)證數(shù)據(jù)為目標(biāo)
 
Resecsecurity公司聲稱,2021年9月,當(dāng)該公司的研究人員首次觀察到這一惡意活動(dòng)時(shí),網(wǎng)絡(luò)攻擊者能夠從2000多個(gè)數(shù)據(jù)中心的客戶那里收集各種記錄。這些包括憑據(jù)、電子郵件、移動(dòng)電話和身份證信息等,可能用于某些客戶端驗(yàn)證機(jī)制 (例如在2023年1月24日,受影響的公司要求客戶更改密碼) 。
 
該公司表示,這名黑客還入侵了一個(gè)用于注冊(cè)訪問者的內(nèi)部電子郵件賬戶,然后可能被用于網(wǎng)絡(luò)間諜活動(dòng)或其他惡意目的。
 
在2022年觀察到的第二次惡意攻擊活動(dòng)中,網(wǎng)絡(luò)攻擊者能夠從總部位于新加坡的數(shù)據(jù)中心中竊取一個(gè)可能包含1210條記錄客戶數(shù)據(jù)庫。
 
第三次惡意攻擊發(fā)生在今年1月,美國(guó)的一家企業(yè)是之前受到網(wǎng)絡(luò)攻擊影響的數(shù)據(jù)中心之一的客戶。Resecsecurity公司的研究人員說,“與前兩次事件相比,關(guān)于這次事件的信息仍然有限,但Resecsecurity公司能夠收集到授權(quán)訪問另一個(gè)數(shù)據(jù)中心客戶門戶的IT人員使用的多個(gè)憑據(jù)。”
 
然后在1月28日,在惡意活動(dòng)中被盜的數(shù)據(jù)在暗網(wǎng)上一個(gè)名為Ramp的地下社區(qū)被出售,該社區(qū)經(jīng)常被初始訪問經(jīng)紀(jì)人和勒索軟件組織使用。
 
Resecsecurity公司的研究人表示:“黑客很可能意識(shí)到他的行為可能會(huì)被檢測(cè)到,數(shù)據(jù)的價(jià)值可能會(huì)隨著時(shí)間的推移而下降,這就是將其數(shù)據(jù)實(shí)現(xiàn)貨幣化的一個(gè)預(yù)期步驟的原因。”他補(bǔ)充說,數(shù)據(jù)轉(zhuǎn)儲(chǔ)可能還有其他原因。民族國(guó)家行為者經(jīng)常使用這種策略來掩蓋他們的網(wǎng)絡(luò)攻擊活動(dòng),通常是為了模糊攻擊動(dòng)機(jī)。
 
亞洲的一些數(shù)據(jù)中心受到攻擊
 
雖然Resecsecurity公司并沒有透露被攻擊的數(shù)據(jù)中心運(yùn)營(yíng)商的名稱,但彭博社報(bào)道稱,新加坡科技電信媒體公司(ST Telemedia)全球數(shù)據(jù)中心是受害者之一。
 
據(jù)彭博社報(bào)道,這家數(shù)據(jù)中心運(yùn)營(yíng)商承認(rèn),其客戶的網(wǎng)站在2021年被入侵,但表示客戶的IT系統(tǒng)或數(shù)據(jù)沒有風(fēng)險(xiǎn)。
 
Resecsecurity公司聲稱,在泄露的數(shù)據(jù)中,其中包括全球業(yè)務(wù)的金融機(jī)構(gòu)、投資基金、生物醫(yī)學(xué)研究公司、技術(shù)供應(yīng)商、電子商務(wù)網(wǎng)站、云服務(wù)、互聯(lián)服務(wù)供應(yīng)商和內(nèi)容交付網(wǎng)絡(luò)公司的數(shù)據(jù)。研究人員稱,這些公司在美國(guó)、英國(guó)、加拿大、澳大利亞、瑞士、新西蘭和中國(guó)設(shè)有總部。
 
Resecurity公司還沒有確定已知的APT組織對(duì)此次攻擊負(fù)責(zé)。研究人員指出,受害者可能受到多個(gè)不同行動(dòng)者的影響。
 
此外,Resecsecurity公司表示,選擇RAMP地下社區(qū)作為提供數(shù)據(jù)的市場(chǎng)提供了一些線索。”
 
Resecsecurity公司已與受害方以及美國(guó)計(jì)算機(jī)安全應(yīng)急響應(yīng)組(CERT)共享有關(guān)惡意活動(dòng)的信息,該公司還與美國(guó)執(zhí)法部門分享了信息,因?yàn)檫@些數(shù)據(jù)中有大量與《財(cái)富》500強(qiáng)企業(yè)相關(guān)的信息。
 
關(guān)于企業(yè)網(wǎng)D1net(r5u5c.cn):
 
國(guó)內(nèi)主流的to B IT門戶,同時(shí)在運(yùn)營(yíng)國(guó)內(nèi)最大的甲方CIO專家?guī)旌椭橇敵黾吧缃黄脚_(tái)-信眾智(www.cioall.com)。同時(shí)運(yùn)營(yíng)19個(gè)IT行業(yè)公眾號(hào)(微信搜索D1net即可關(guān)注)
 
版權(quán)聲明:本文為企業(yè)網(wǎng)D1Net編譯,轉(zhuǎn)載需在文章開頭注明出處為:企業(yè)網(wǎng)D1Net,如果不注明出處,企業(yè)網(wǎng)D1Net將保留追究其法律責(zé)任的權(quán)利。

鏈接已復(fù)制,快去分享吧

企業(yè)網(wǎng)版權(quán)所有?2010-2024 京ICP備09108050號(hào)-6京公網(wǎng)安備 11010502049343號(hào)