Resecsecurity公司在一篇博客文章中指出:“針對數(shù)據(jù)中心攻擊的惡意網(wǎng)絡(luò)活動在供應(yīng)鏈網(wǎng)絡(luò)安全方面開創(chuàng)了重要的先例。我們預(yù)計(jì)網(wǎng)絡(luò)攻擊者將會增加針對數(shù)據(jù)中心及其客戶相關(guān)的惡意網(wǎng)絡(luò)活動。”
Resecsecurity公司并沒有透露受到攻擊的大型企業(yè)的名稱,但根據(jù)彭博社的一篇報(bào)道,網(wǎng)絡(luò)攻擊者竊取了包括阿里巴巴、亞馬遜、蘋果、寶馬、高盛、華為、微軟和沃爾瑪在內(nèi)的大型公司的數(shù)據(jù)中心訪問憑證。彭博社表示,已經(jīng)查閱了Resecsecurity公司調(diào)查的與該惡意活動有關(guān)的文件。
Resecsecurity公司在2021年9月首次發(fā)出警告,網(wǎng)絡(luò)攻擊者將發(fā)動針對數(shù)據(jù)中心的惡意攻擊,并在2022年和2023年1月進(jìn)一步發(fā)布了另外兩次惡意攻擊事件。該公司表示,此次惡意攻擊的目標(biāo)是從數(shù)據(jù)中心主要客戶的企業(yè)和政府機(jī)構(gòu)那里竊取敏感數(shù)據(jù)。
客戶記錄被發(fā)布到暗網(wǎng)上
最近,在各種惡意攻擊中竊取的與大型企業(yè)數(shù)據(jù)中心有關(guān)的訪問憑證被發(fā)布在地下論壇breach上,并被研究人員檢測到。其特定數(shù)據(jù)緩存的一些片段也被各種威脅行為者在Telegram上共享。
Resecsecurity公司在暗網(wǎng)上發(fā)現(xiàn)了幾個(gè)來自亞洲的網(wǎng)絡(luò)攻擊者,他們在行動過程中設(shè)法訪問了客戶記錄,并從一個(gè)或多個(gè)與幾個(gè)企業(yè)數(shù)據(jù)中心使用的特定應(yīng)用程序和系統(tǒng)相關(guān)的數(shù)據(jù)庫中竊取了這些記錄。
在其中一個(gè)案例中,最初的訪問權(quán)限可能是通過與其他應(yīng)用程序和系統(tǒng)集成的易受攻擊的幫助臺或票據(jù)管理模塊獲得的,這能夠使網(wǎng)絡(luò)攻擊者進(jìn)行橫向移動。
Resecsecurity公司表示,網(wǎng)絡(luò)攻擊者能夠提取一份帶有相關(guān)視頻流標(biāo)識符的閉路電視攝像頭列表,用于監(jiān)控?cái)?shù)據(jù)中心運(yùn)營環(huán)境,以及與數(shù)據(jù)中心IT人員和客戶相關(guān)的憑據(jù)信息。
在收集了憑據(jù)之后,網(wǎng)絡(luò)攻擊者執(zhí)行主動探測,以收集有關(guān)管理數(shù)據(jù)中心運(yùn)營的企業(yè)客戶代表、購買的服務(wù)列表和部署的設(shè)備的信息。
惡意活動以客戶端驗(yàn)證數(shù)據(jù)為目標(biāo)
Resecsecurity公司聲稱,2021年9月,當(dāng)該公司的研究人員首次觀察到這一惡意活動時(shí),網(wǎng)絡(luò)攻擊者能夠從2000多個(gè)數(shù)據(jù)中心的客戶那里收集各種記錄。這些包括憑據(jù)、電子郵件、移動電話和身份證信息等,可能用于某些客戶端驗(yàn)證機(jī)制 (例如在2023年1月24日,受影響的公司要求客戶更改密碼) 。
該公司表示,這名黑客還入侵了一個(gè)用于注冊訪問者的內(nèi)部電子郵件賬戶,然后可能被用于網(wǎng)絡(luò)間諜活動或其他惡意目的。
在2022年觀察到的第二次惡意攻擊活動中,網(wǎng)絡(luò)攻擊者能夠從總部位于新加坡的數(shù)據(jù)中心中竊取一個(gè)可能包含1210條記錄客戶數(shù)據(jù)庫。
第三次惡意攻擊發(fā)生在今年1月,美國的一家企業(yè)是之前受到網(wǎng)絡(luò)攻擊影響的數(shù)據(jù)中心之一的客戶。Resecsecurity公司的研究人員說,“與前兩次事件相比,關(guān)于這次事件的信息仍然有限,但Resecsecurity公司能夠收集到授權(quán)訪問另一個(gè)數(shù)據(jù)中心客戶門戶的IT人員使用的多個(gè)憑據(jù)。”
然后在1月28日,在惡意活動中被盜的數(shù)據(jù)在暗網(wǎng)上一個(gè)名為Ramp的地下社區(qū)被出售,該社區(qū)經(jīng)常被初始訪問經(jīng)紀(jì)人和勒索軟件組織使用。
Resecsecurity公司的研究人表示:“黑客很可能意識到他的行為可能會被檢測到,數(shù)據(jù)的價(jià)值可能會隨著時(shí)間的推移而下降,這就是將其數(shù)據(jù)實(shí)現(xiàn)貨幣化的一個(gè)預(yù)期步驟的原因。”他補(bǔ)充說,數(shù)據(jù)轉(zhuǎn)儲可能還有其他原因。民族國家行為者經(jīng)常使用這種策略來掩蓋他們的網(wǎng)絡(luò)攻擊活動,通常是為了模糊攻擊動機(jī)。
亞洲的一些數(shù)據(jù)中心受到攻擊
雖然Resecsecurity公司并沒有透露被攻擊的數(shù)據(jù)中心運(yùn)營商的名稱,但彭博社報(bào)道稱,新加坡科技電信媒體公司(ST Telemedia)全球數(shù)據(jù)中心是受害者之一。
據(jù)彭博社報(bào)道,這家數(shù)據(jù)中心運(yùn)營商承認(rèn),其客戶的網(wǎng)站在2021年被入侵,但表示客戶的IT系統(tǒng)或數(shù)據(jù)沒有風(fēng)險(xiǎn)。
Resecsecurity公司聲稱,在泄露的數(shù)據(jù)中,其中包括全球業(yè)務(wù)的金融機(jī)構(gòu)、投資基金、生物醫(yī)學(xué)研究公司、技術(shù)供應(yīng)商、電子商務(wù)網(wǎng)站、云服務(wù)、互聯(lián)服務(wù)供應(yīng)商和內(nèi)容交付網(wǎng)絡(luò)公司的數(shù)據(jù)。研究人員稱,這些公司在美國、英國、加拿大、澳大利亞、瑞士、新西蘭和中國設(shè)有總部。
Resecurity公司還沒有確定已知的APT組織對此次攻擊負(fù)責(zé)。研究人員指出,受害者可能受到多個(gè)不同行動者的影響。
此外,Resecsecurity公司表示,選擇RAMP地下社區(qū)作為提供數(shù)據(jù)的市場提供了一些線索。”
Resecsecurity公司已與受害方以及美國計(jì)算機(jī)安全應(yīng)急響應(yīng)組(CERT)共享有關(guān)惡意活動的信息,該公司還與美國執(zhí)法部門分享了信息,因?yàn)檫@些數(shù)據(jù)中有大量與《財(cái)富》500強(qiáng)企業(yè)相關(guān)的信息。
關(guān)于企業(yè)網(wǎng)D1net(hfnxjk.com):
國內(nèi)主流的to B IT門戶,同時(shí)在運(yùn)營國內(nèi)最大的甲方CIO專家?guī)旌椭橇敵黾吧缃黄脚_-信眾智(www.cioall.com)。同時(shí)運(yùn)營19個(gè)IT行業(yè)公眾號(微信搜索D1net即可關(guān)注)
版權(quán)聲明:本文為企業(yè)網(wǎng)D1Net編譯,轉(zhuǎn)載需在文章開頭注明出處為:企業(yè)網(wǎng)D1Net,如果不注明出處,企業(yè)網(wǎng)D1Net將保留追究其法律責(zé)任的權(quán)利。
京公網(wǎng)安備 11010502049343號