Специалисты по безопасности компании Resecurity сообщили о серии кибератак на многочисленные центры обработки данных по всему миру, которая продолжается уже около полутора лет. В ходе атак похищены и опубликованы в даркнете учетные данные клиентов взломанных ЦОДов, в том числе крупнейших корпораций мира. В Resecurity их не называют, но агентство Bloomberg, чья редакция ознакомилась с документами Resecurity, в собственной публикации перечисляет компании Alibaba, Amazon, Apple, BMW, Goldman Sachs, Huawei Technologies, Microsoft и Walmart. Resecurity в числе пострадавших упоминает транснациональные финансовые учреждения, компании отрасли биомедицинских исследований, ИТ-компании, интернет-магазины, Интернет-провайдеров, операторов облачных сервисов и сетей доставки контента со штаб-квартирами в США, Великобритании, Канаде, Австралии, Швейцарии, Новой Зеландии и Китае.
Resecurity уведомляла операторов ЦОДов об атаках осенью 2021 года, затем дважды в течение 2022-го и последний раз — в январе нынешнего. В компании считают, что целью вторжений было хищение конфиденциальных данных частных и государственных организаций, пользующихся услугами ЦОДов. Частично учетные данные, украденные в результате таких атак, были опубликованы на форумах даркнета и в Telegram.
Как минимум в одном случае первоначальный доступ к ЦОДам удалось получить с использованием уязвимости в системе технической поддержки пользователей, после чего по методу «бокового перемещения» были взломаны и другие системы. В результате были собраны сведения о представителях корпоративных клиентов дата-центра, отвечающих за работу с ним, перечни закупленных услуг и установленного оборудования. В ходе другого эпизода в числе похищенной информации были собраны паспортные данные, которые, вероятно, использовались для верификации клиентов.
Учетные данные, украденные в результате январской атаки, в конце месяца были выставлены на продажу в даркнете, сообщает Resecurity. Как полагают в компании, злоумышленник, вероятно, предположил, что его деятельность может раскрыться, в результате чего ценность данных упадет, поэтому поспешил продать их. Другая возможная причина — попытка отвлечь внимание от реальной цели атаки; по сведениям Resecurity, к подобной тактике нередко прибегают хакеры, финансируемые государством.
Специалистам Resecurity не удалось установить, причастны ли к организации атак какие-либо известные хакерские группировки. В компании не исключают возможности того, что вторжения осуществлялись разными злоумышленниками, однако выбор форума в даркнете, где данные выставлялись на продажу, может указывать на то, что атаки проводились взломщиками из Китая или стран Юго-Восточной Азии.
По сведениям Bloomberg, в числе пострадавших операторов ЦОДов — китайский GDS Holdings и сингапурский ST Telemedia Global Data Centres.