據彭博社報道,近2年以來,黑客組織入侵了全球多個地區的多個資料中心,掌握了大量國際巨頭企業的登入憑證,并在暗網上以17.5萬美元的價格打包售賣。
針對資料中心組織的惡意網絡活動在供應鍊網絡安全領域開創了一個重大先例,預計攻擊者會增加與資料中心及其客戶相關的惡意網絡活動。
據悉,網絡攻擊竊取了阿裡巴巴、亞馬遜、蘋果、寶馬、高盛、華為、微軟和沃爾瑪等2000多家公司的資料中心證書。
這是一次凸顯全球計算機網絡脆弱性的标志性事件,黑客通過入侵亞洲最大資料中心,擷取了國際巨頭企業的登入憑證,這意味着他們已經掌握了通向巨大潛在财富的大門鑰匙。
大規模資料洩露,國内頭部企業尤其需要警惕
調查顯示,黑客獲得多家巨頭企業使用者的電子郵件和密碼,來自亞洲最大的兩家資料中心:總部位于上海的萬國資料(GDS Holdings Ltd.)和總部位于新加坡的新科電信媒體(ST Telemedia Global data Centres)。
萬國資料和新科電信媒體都是亞洲最大的資料中心服務提供商之一。兩家營運商關系也十分密切,2014年,新科電信媒體母公司新加坡科技(Telemedia Pte)收購了萬國資料 40%的股份。萬國資料也是國内排名前三的托管服務提供商之一。
2000多家企業受到本次資料洩露的影響,根據目前掌握的資訊,黑客已經使用了其中至少5家公司的登入憑證,但目前還無從得知黑客使用其他登入憑證的情況。
萬國資料在一份聲明中表示,客戶支援網站在2021年遭到破壞。目前尚不清楚黑客是如何獲得新科電信媒體資料的。該公司表示,沒有發現任何證據表明其客戶服務門戶網站當年遭到了破壞。
兩家資料中心都表示,惡意憑證不會對客戶的IT系統或資料構成風險。但在今年1月,兩家營運商都曾強制企業客戶重置了登入密碼。
如此大規模的資料洩露突顯了公司面臨的日益增長的風險,因為它們依賴第三方來存放資料和IT裝置,并幫助其網絡進入全球市場。安全專家表示,中國是全球第二大托管服務市場,僅次于美國,是以這一問題對于國内企業來說尤為嚴重。
被竊資料被免費轉存至暗網,以17.5萬美元被打包出售
1月下旬,在萬國資料和新科電信媒體更改了客戶密碼後,黑客在暗網論壇上釋出了待出售的資料庫。
文章中寫道:“資料庫包含客戶資訊,可用于網絡釣魚、通路機櫃、監控訂單和裝置、遠端手動訂單。”。
黑客在上個月以17.5萬美元的價格在暗網上出售之前,已經擷取了一年多的登入憑據,并表示由于擷取憑證的公司超過2000家,他們無法處理如此龐大的資料。有消息顯示,黑客組織似乎正在将竊取的資料免費轉存至暗網。
目前尚未能夠将這些攻擊與已知的黑客組織聯系起來。當資料中心營運商強制重置密碼時,黑客可能會将這些資訊出售,進而降低其價值。專家表示,盜竊憑證的行為表明,攻擊者正在探索新的方法來滲透硬體設施。
黑客獲得了萬國資料3000多人的完整電子郵件位址和密碼,包括該公司自己的員工和客戶,以及新科電信媒體1000多人的資訊。為了安全起見,資料被散列或加密,但檔案顯示,這些加密資料能夠通過簡單工具輕松解碼。這些電子郵件位址和密碼能夠讓黑客僞裝成客戶服務網站上的授權使用者。
史詩級資料洩露将帶來不可估量的損失
檔案顯示,黑客還竊取了萬國資料網絡中30000多個監控攝像頭的憑據,其中大多數都依賴“admin”或“admin12345”等簡單密碼。
根據相關檔案,被洩露員工登入資訊的其他公司包括:彭博社、位元組跳動、福特、萬事達、摩根士丹利、Paypal、保時捷、軟銀、Telstra、騰訊、威瑞森通信和富國銀行。
客戶支援網站的登入憑據數量因客戶而異。但黑客隻需要一個有效的電子郵件位址和密碼就可以通路客戶服務門戶網站上的公司帳戶。
即便兩家營運商已經強制重置了客戶密碼,這些資料仍然很有價值——黑客可以利用其制作有針對性的網絡釣魚郵件,來攻擊具有高權限的管理層。
“這是一場可預見的噩夢。”
多家公司高管表示,憑證被盜是一種不尋常的安全風險,因為客戶支援網站控制着誰可以實際通路資料中心的IT裝置。
英特爾前首席安全和隐私官Malcolm Harkins表示,第三方資料中心的IT裝置的實體安全以及控制通路的系統存在着企業安全部門經常忽視的漏洞。
對于任何資料中心營運商來說,最壞的情況是攻擊者以某種方式通路客戶的伺服器,并安裝惡意代碼或額外的裝置,進而大規模破壞通信和業務體系。
我們建議任何借助第三方托管資料和IT裝置的公司提前做好主動防禦,同樣,擁有自建資料中心機房或使用公有雲的企業也需要提前做好主動防禦。塞訊安全度量驗證平台為您提供可基于ATT&CK技戰術篩選攻擊手法的攻擊庫,您可以登入平台選擇“憑據通路”、“C&C回連”和“資料洩露”等相關攻擊手法,通過還原真實的攻擊場景來驗證您的安全防禦體系是否能夠抵禦本次資料洩露危機。
| 參考來源
https://www.bnnbloomberg.ca/hackers-scored-data-center-logins-for-some-of-the-world-s-biggest-corporations-more-than-a-year-ago-now-they-re-selling-that-information-1.1886086
推薦閱讀
Clop勒索軟體聲稱使用GoAnywhere 零日漏洞破壞了130個組織
CISO的情人節“角色扮演”指南
公衆号:塞訊驗證