網絡安全服務商Resecsecurity公司表示,在過去一年半的時間里,該公司已經觀察到針對全球多個國家和地區的多個數據中心的網絡攻擊,導致一些全球規模最大的企業的信息泄露,并在暗網上發布訪問憑證。
Resecsecurity公司在一篇博客文章中指出:“針對數據中心攻擊的惡意網絡活動在供應鏈網絡安全方面開創了重要的先例。我們預計網絡攻擊者將會增加針對數據中心及其客戶相關的惡意網絡活動。”
Resecsecurity公司并沒有透露受到攻擊的大型企業的名稱,但根據彭博社的一篇報道,網絡攻擊者竊取了包括阿里巴巴、亞馬遜、蘋果、寶馬、高盛、華為、微軟和沃爾瑪在內的大型公司的數據中心訪問憑證。彭博社表示,已經查閱了Resecsecurity公司調查的與該惡意活動有關的文件。
Resecsecurity公司在2021年9月首次發出警告,網絡攻擊者將發動針對數據中心的惡意攻擊,并在2022年和2023年1月進一步發布了另外兩次惡意攻擊事件。該公司表示,此次惡意攻擊的目標是從數據中心主要客戶的企業和政府機構那里竊取敏感數據。
客戶記錄被發布到暗網上
最近,在各種惡意攻擊中竊取的與大型企業數據中心有關的訪問憑證被發布在地下論壇breach上,并被研究人員檢測到。其特定數據緩存的一些片段也被各種威脅行為者在Telegram上共享。
Resecsecurity公司在暗網上發現了幾個來自亞洲的網絡攻擊者,他們在行動過程中設法訪問了客戶記錄,并從一個或多個與幾個企業數據中心使用的特定應用程序和系統相關的數據庫中竊取了這些記錄。
在其中一個案例中,最初的訪問權限可能是通過與其他應用程序和系統集成的易受攻擊的幫助臺或票據管理模塊獲得的,這能夠使網絡攻擊者進行橫向移動。
Resecsecurity公司表示,網絡攻擊者能夠提取一份帶有相關視頻流標識符的閉路電視攝像頭列表,用于監控數據中心運營環境,以及與數據中心IT人員和客戶相關的憑據信息。
在收集了憑據之后,網絡攻擊者執行主動探測,以收集有關管理數據中心運營的企業客戶代表、購買的服務列表和部署的設備的信息。
惡意活動以客戶端驗證數據為目標
Resecsecurity公司聲稱,2021年9月,當該公司的研究人員首次觀察到這一惡意活動時,網絡攻擊者能夠從2000多個數據中心的客戶那里收集各種記錄。這些包括憑據、電子郵件、移動電話和身份證信息等,可能用于某些客戶端驗證機制(例如在2023年1月24日,受影響的公司要求客戶更改密碼)。
該公司表示,這名黑客還入侵了一個用于注冊訪問者的內部電子郵件賬戶,然后可能被用于網絡間諜活動或其他惡意目的。
在2022年觀察到的第二次惡意攻擊活動中,網絡攻擊者能夠從總部位于新加坡的數據中心中竊取一個可能包含1210條記錄客戶數據庫。
第三次惡意攻擊發生在今年1月,美國的一家企業是之前受到網絡攻擊影響的數據中心之一的客戶。Resecsecurity公司的研究人員說,“與前兩次事件相比,關于這次事件的信息仍然有限,但Resecsecurity公司能夠收集到授權訪問另一個數據中心客戶門戶的IT人員使用的多個憑據。”
然后在1月28日,在惡意活動中被盜的數據在暗網上一個名為Ramp的地下社區被出售,該社區經常被初始訪問經紀人和勒索軟件組織使用。
Resecsecurity公司的研究人表示:“黑客很可能意識到他的行為可能會被檢測到,數據的價值可能會隨著時間的推移而下降,這就是將其數據實現貨幣化的一個預期步驟的原因。”他補充說,數據轉儲可能還有其他原因。民族國家行為者經常使用這種策略來掩蓋他們的網絡攻擊活動,通常是為了模糊攻擊動機。
亞洲的一些數據中心受到攻擊
雖然Resecsecurity公司并沒有透露被攻擊的數據中心運營商的名稱,但彭博社報道稱,新加坡科技電信媒體公司(STTelemedia)全球數據中心是受害者之一。
據彭博社報道,這家數據中心運營商承認,其客戶的網站在2021年被入侵,但表示客戶的IT系統或數據沒有風險。
Resecsecurity公司聲稱,在泄露的數據中,其中包括全球業務的金融機構、投資基金、生物醫學研究公司、技術供應商、電子商務網站、云服務、互聯服務供應商和內容交付網絡公司的數據。研究人員稱,這些公司在美國、英國、加拿大、澳大利亞、瑞士、新西蘭和中國設有總部。
Resecurity公司還沒有確定已知的APT組織對此次攻擊負責。研究人員指出,受害者可能受到多個不同行動者的影響。
此外,Resecsecurity公司表示,選擇RAMP地下社區作為提供數據的市場提供了一些線索。”
Resecsecurity公司已與受害方以及美國計算機安全應急響應組(CERT)共享有關惡意活動的信息,該公司還與美國執法部門分享了信息,因為這些數據中有大量與《財富》500強企業相關的信息。
