网络攻击袭击数据中心,以窃取全球企业的信息
据报道,一场针对数据中心的恶意活动窃取了一些全球最大企业的访问凭证,包括Amazon、Apple、Goldman Sachs和Microsoft。
据网络安全企业Resecurity称,在过去一年半的时间里,全球多个地区的多个数据中心都遭到了网络攻击,导致一些全球最大企业的信息泄露,访问凭证在暗网上发布。
Resecsecurity在一篇博客文章中表示,针对数据中心组织的恶意网络活动在供应链网络安全方面开创了一个重要的先例。Resecsecurity预计攻击者将增加与数据中心及其客户相关的恶意网络活动。
Resecsecurity没有透露受害者的姓名,但根据Bloomberg的另一篇报道,网络攻击窃取了包括Alibaba、Amazon、Apple、BMW、Goldman Sachs、Huawei、Microsoft和Walmart在内的大企业的数据中心证书。Bloomberg表示,它已经审查了与该恶意活动有关的Resecsecurity文件。
Resecsecurity于2021年9月首次警告数据中心有针对它们的恶意活动,并在2022年和2023年1月进一步更新了另外两次事件。Resecsecurity表示,此次活动的目标是从作为数据中心客户的企业和政府机构窃取敏感数据。
客户记录被放到暗网上
最近,在地下论坛Breached.to上发布了与数据中心组织相关的凭证以及在恶意活动的各个阶段获取的凭证,并于周一被研究人员检测到。该特定数据缓存的一些片段也被各种威胁行为者在Telegram上共享。
Resecsecurity在暗网上发现了几个行为者,可能来自亚洲,他们在活动期间设法访问了客户记录,并从一个或多个与多个数据中心组织使用的特定应用程序和系统相关的数据库中窃取了这些记录。
至少在其中一个案例中,初始访问可能是通过与其他应用程序和系统集成的易受攻击的帮助台或票据管理模块获得的,这允许威胁行为者进行横向移动。
Resecsecurity表示,该威胁行为者能够提取带有相关视频流标识符的CCTV摄像机列表,用于监控数据中心环境,以及与数据中心IT人员和客户相关的凭证信息。
收集凭据之后,参与者进行主动探测,以收集有关管理数据中心运营的企业客户代表的信息、购买的服务列表和部署的设备。
恶意活动针对客户端验证数据
据Resecsecurity称,2021年9月,当Resecsecurity的研究人员首次观察到该活动时,参与该事件的威胁行为者能够从2000多个数据中心客户那里收集各种记录。这些包括凭证、电子邮件、手机和身份证引用,可能用于某些客户端验证机制。2023年1月24日左右,受影响的组织要求客户更改密码。
Resecsecurity表示,这名行为者还入侵了一个用于注册访问者的内部电子邮件账户,可将其用于网络间谍或其他恶意目的。
在2022年观察到的第二次活动实例中,该行为者能够从总部位于新加坡的数据中心组织中窃取客户数据库,据推测包含1210条记录。
第三次恶意活动发生在今年1月,涉及美国的一家组织,该组织是之前受到影响的数据中心之一的客户。“与前两起事件相比,关于这次事件的信息仍然有限,但Resecsecurity能够收集到IT人员使用的多个凭证,这些凭证授予了访问另一个数据中心的客户门户的权限,”Resecsecurity表示。
然后在1月28日,在活动中被盗的数据被发布在暗网上一个名为Ramp的地下社区出售,该社区经常被初始访问经纪人和勒索软件组织使用。
Resecsecurity表示:“行为者很可能意识到其活动会被检测到,并且数据的价值可能会随着时间的推移而下降,这就是为什么立即货币化的想法是一个预期的步骤。数据转储可能还有其他原因。行为者经常使用这种策略来掩盖其活动,通常是为了模糊攻击动机。”
据报道,亚洲数据中心受到了攻击
虽然Resecsecurity没有透露被攻击的数据中心运营商的名称,但Bloomberg报道称,总部位于上海的GDS Holdings和总部位于新加坡的ST Telemedia Global Data Centers都是受害者组织。
据Bloomberg报道,GDS承认,一个客户支持网站在2021年被入侵,但表示客户IT系统或数据没有风险。ST Telemedia还表示,这对客户没有风险。
据Resecsecurity称,在泄露的数据集中确定的组织包括全球业务的金融机构、投资基金、生物医学研究企业、技术供应商、电子商务网站、云服务、ISP和内容交付网络企业。研究人员称,这些企业在美国、英国、加拿大、澳大利亚、瑞士、新西兰和中国都设有总部。
Resecurity尚未确定任何已知的APT组织对此次攻击负责。研究人员指出,受害者可能受到多个不同行为者的影响。
此外,Resecsecurity表示,选择RAMP作为提供数据的市场提供了一些线索。RAMP增加了对中文的支持,并欢迎会中文的黑客加入。Resecsecurity表示:“大多数论坛版块都有中文翻译,我们可以从中识别出来自中国和东南亚国家的多个行为者。”
有关恶意活动的信息已与中国和新加坡的受影响方以及国家计算机应急响应小组(CERT)共享。该研究企业还与美国执法部门共享信息,因为数据集中有大量与《财富》500强企业相关的信息。
- 蜜度索骥:以跨模态检索技术助力“企宣”向上生长
- 【2024全球6G技术大会】“可信与安全”论坛成功举办:内生安全是6G基石底座
- 中国电信3月净增5G用户466万户 累计达3.29亿户
- 中国移动CPE OTN设备集采出炉:华为、星网锐捷、格林威尔等9家中标
- 中国电信3月5G套餐用户净增466万户,累计3.2872亿户
- 中国铁塔启动2024年微型数字直放站产品集采
- 中信科移动徐晖:弹性可信的6G安全关键技术,构建内生安全的6G网络
- 神州泰岳2023年实现净利润8.87亿元 同比增长63.84%
- 五家科技巨头联合呼吁欧洲采取紧急数字化行动
- 五家科技巨头联合呼吁欧洲采取紧急数字化行动
- HAS观察:F5G-A全光品质运力网,算力承载最佳选择
免责声明:本网站内容主要来自原创、合作伙伴供稿和第三方自媒体作者投稿,凡在本网站出现的信息,均仅供参考。本网站将尽力确保所提供信息的准确性及可靠性,但不保证有关资料的准确性及可靠性,读者在使用前请进一步核实,并对任何自主决定的行为负责。本网站对有关资料所引致的错误、不确或遗漏,概不负任何法律责任。任何单位或个人认为本网站中的网页或链接内容可能涉嫌侵犯其知识产权或存在不实内容时,应及时向本网站提出书面权利通知或不实情况说明,并提供身份证明、权属证明及详细侵权或不实情况证明。本网站在收到上述法律文件后,将会依法尽快联系相关文章源头核实,沟通删除相关内容或断开相关链接。
