据网络安全公司Resecurity称,在过去的一年半里,已经观察到针对全球多个地区的多个数据中心的网络攻击,导致与一些世界上最大的公司有关的信息外流,并在暗网上发布访问证书。
"Resecurity在一篇博文中说:"针对数据中心组织的恶意网络活动在供应链网络安全方面创造了一个重要先例。"Resecurity预计攻击者将增加与数据中心及其客户有关的恶意网络活动。"
Resecurity没有说出受害者的名字,但根据彭博社的另一份报告,网络攻击窃取了包括阿里巴巴、亚马逊、苹果、宝马、高盛、华为技术、微软和沃尔玛等大型企业的数据中心凭证。彭博社说,它已经审查了与恶意活动有关的Resecurity文件。
Resecurity在2021年9月首次警告数据中心有针对他们的恶意活动,并在2022年和2023年1月进一步更新了另外两个事件。Resecurity说,该活动的目的是窃取作为数据中心客户的企业和政府组织的敏感数据。
最近,在地下论坛Breached.to上公布了与数据中心组织有关的、在恶意活动的各个阶段获得的凭证,并在周一被研究人员发现。 该特定数据缓存的一些片段也被各种威胁行为者在Telegram上分享。
Resecurity在暗网上发现了几个可能来自亚洲的行为者,他们在活动过程中设法访问客户记录,并从一个或多个与几个数据中心组织使用的特定应用程序和系统有关的数据库中渗出这些数据。
至少在其中一个案例中,最初的访问可能是通过一个与其他应用程序和系统集成的易受攻击的服务台或票据管理模块获得的,这使威胁行为者能够进行横向移动。
Resecurity说,该威胁行为者能够提取闭路电视摄像机的清单,其中包括用于监控数据中心环境的相关视频流标识符,以及与数据中心IT人员和客户有关的凭证信息。
一旦收集到凭证,该行为人就进行主动探测,以收集有关管理数据中心运作的企业客户代表的信息、购买的服务清单和部署的设备。
2021年9月,当Resecurity研究人员首次观察到该活动时,据Resecurity称,参与该事件的威胁行为者能够从2000多个数据中心客户那里收集各种记录。这些记录包括凭证、电子邮件、手机和身份证参考资料,可能用于某些客户验证机制。(2023年1月24日前后,受影响的组织要求客户更改他们的密码)。
Resecurity说,该行为者还能够破坏一个用于注册访客的内部电子邮件账户,然后可以用于网络间谍或其他恶意目的。
在2022年观察到的该活动的第二个实例中,该行为人能够渗出一个客户数据库,据推测该数据库包含总部设在新加坡的一个数据中心组织的1210条记录。
今年1月观察到的恶意活动的第三集,涉及到美国的一个组织,该组织是之前受影响的数据中心之一的客户。"Resecurity说:"与之前的两起事件相比,关于这起事件的信息仍然有限,但Resecurity能够收集到IT人员使用的几个证书,这些证书允许访问另一个数据中心的客户门户网站。
然后在1月28日,活动期间被盗的数据被公布在暗网的一个名为Ramp的地下社区上出售,该社区经常被初始访问经纪人和勒索软件团体使用。
"Resecurity说:"行为人很可能意识到他的活动可能被发现,数据的价值可能随着时间的推移而下降,这就是为什么立即货币化的想法是一个预期的步骤。"这种策略经常被民族国家行为者用来掩盖他们的活动,通常是为了模糊攻击动机。"
虽然Resecurity没有透露在这次攻击中被确认的数据中心运营商的名字,但彭博社报道说,总部位于上海的GDS控股公司和总部位于新加坡的ST Telemedia全球数据中心是受害机构之一。
彭博社报道说,GDS承认一个客户支持网站在2021年被攻破,但表示客户的IT系统或数据没有风险。ST Telemedia也表示没有对客户造成风险。
据Resecurity报道,在被泄露的数据集中发现的组织是具有全球影响力的金融机构,以及投资基金、生物医学研究公司、技术供应商、电子商务网站、云服务、ISP和内容交付网络公司。研究人员说,这些公司的总部设在美国、英国、加拿大、澳大利亚、瑞士、新西兰和中国。
Resecurity还没有发现任何已知的APT组织对这些攻击负责。研究人员指出,受害者有可能是被多个不同的行为者破坏的。
Resecurity说,否则,选择RAMP作为提供数据的市场就会提供一些线索。RAMP已经增加了对中文的支持,并欢迎讲中文的黑客加入。"Resecurity说:"大多数论坛版块都有中文翻译,正是在那里,我们可以识别出来自中国和东南亚国家的多个行为者。
有关恶意活动的信息已经与受影响的各方以及中国和新加坡的国家计算机应急响应小组(CERTs)共享。该研究公司还与美国执法部门分享了信息,因为数据集中有大量与主要的财富500强企业有关的信息。
