به گفته شرکت امنیت سایبری Resecurity، حملات سایبری که چندین مرکز داده را در چندین منطقه در سطح جهان هدف قرار میدهند، طی یک سال و نیم گذشته مشاهده شدهاند که منجر به نفوذ اطلاعات مربوط به برخی از بزرگترین شرکتهای جهان و انتشار اعتبار دسترسی در دارک وب شده است.
Resecurity در یک پست وبلاگی گفت: "فعالیت های مخرب سایبری که مراکز داده را هدف قرار می دهد، سابقه قابل توجهی در زمینه امنیت سایبری زنجیره تامین ایجاد می کند." " Resecurityانتظار دارد مهاجمان فعالیتهای سایبری مخرب مربوط به مراکز داده و مشتریان آنها را افزایش دهند."Resecurity نام قربانیان را ذکر نکرده است، اما بر اساس گزارش جداگانهای از بلومبرگ، این حملات سایبری اعتبارنامه مراکز داده را از شرکتهای بزرگی مانند علیبابا، آمازون، اپل، بیامو، گلدمن ساکس، فنآوریهای هواوی، مایکروسافت و والمارت به سرقت برده اند. بلومبرگ گفته است که اسناد امنیتی مربوط به این فعالیت مخرب را بررسی کرده است.
Resecurity برای اولین بار در سپتامبر 2021 به مراکز داده در مورد یک کمپین مخرب برای هدف قرار دادن آنها هشدار داد، و در مورد دو قسمت دیگر در طول سال های 2022 و ژانویه 2023 به بروز رسانی های بیشتری کرد. هدف از این فعالیت سرقت داده های حساس از شرکت ها و سازمان های دولتی بود که مشتریان مراکز داده ها هستند.
سوابق مشتریان در dark web ریخته شده است
اخیراً، اعتبارنامههای مربوط به سازمانهای مرکز داده به دست آمده در طول قسمتهای مختلف کمپین مخرب در انجمن زیرزمینی Breached.to منتشر شده و توسط محققان شناسایی شد. برخی از بخشهای آن حافظه پنهان دادهای خاص نیز توسط عوامل مختلف تهدید در تلگرام به اشتراک گذاشته شده است.
Resecurity چندین عامل را در dark web شناسایی کرده که احتمالاً از آسیا سرچشمه میگیرند، که در طول این کمپین موفق به دسترسی به سوابق مشتریان و استخراج آنها از یک یا چند پایگاه داده مرتبط با برنامهها و سیستمهای خاص مورد استفاده توسط چندین سازمان مرکز داده شدند.حداقل در یکی از موارد، دسترسی اولیه احتمالاً از طریق پیشخوان آسیبپذیر یا ماژول مدیریت تیکت که با برنامهها و سیستمهای دیگر ادغام شده بود، به دست آمده بود که به عامل تهدید اجازه میداد یک حرکت جانبی انجام دهد.
Resecurity گفته است که عامل تهدید توانست فهرستی از دوربینهای مداربسته را با شناسههای جریان ویدئویی مرتبط که برای نظارت بر محیطهای مرکز داده و همچنین اطلاعات اعتبار مربوط به کارکنان و مشتریان مرکز داده استخراج کند. پس از جمعآوری اعتبارنامه، عامل برای جمعآوری اطلاعات در مورد نمایندگان مشتریان سازمانی که عملیات در مرکز داده، فهرست خدمات خریداریشده و تجهیزات مستقر را مدیریت میکنند، یک جستجوی کامل انجام داد.
فعالیت مخرب داده های تأیید مشتری را هدف قرار می دهد
در سپتامبر 2021، زمانی که این کمپین برای اولین بار توسط محققان Resecurity مشاهده شد، عامل تهدید درگیر در آن قسمت توانست سوابق مختلفی را از بیش از 2000 مشتری مرکز داده جمع آوری کند. اینها شامل اعتبار، ایمیل، تلفن همراه و ارجاعات کارت شناسایی بود که احتمالاً برای مکانیسم های تأیید مشتری خاص استفاده می شود. (حدود 24 ژانویه 2023، سازمان آسیب دیده مشتریان را ملزم به تغییر رمز عبور خود کرد).
Resecurity گفت که این عامل همچنین توانست یکی از حسابهای ایمیل داخلی مورد استفاده برای ثبت بازدیدکنندگان را به خطر بیاندازد که میتوان از آن برای جاسوسی سایبری یا سایر اهداف مخرب استفاده کرد.
در دومین نمونه مشاهده شده از این کمپین، در سال 2022، این عامل توانست به پایگاه داده مشتریان که گمان می رود حاوی 1210 رکورد از یک سازمان مرکز داده مستقر در سنگاپور است، نفوذ کند.
سومین قسمت از این کمپین مخرب که در ژانویه سال جاری مشاهده شد، سازمانی در ایالات متحده را درگیر کرد که مشتری یکی از مراکز داده قبلاً تحت تأثیر قرار گرفته بود. Resecurity گفت: "اطلاعات مربوط به این قسمت در مقایسه با 2 قسمت قبلی محدود است، اما Resecurity توانست چندین اعتبار مورد استفاده توسط کارکنان فناوری اطلاعات را جمعآوری کند که اجازه دسترسی به پورتال مشتری در مرکز داده دیگری را داده است."
سپس در 28 ژانویه، اطلاعات به سرقت رفته در طول کمپین برای فروش در یک گروه زیرزمینی در دارک وب به نام Ramp منتشر شد، که اغلب توسط کارگزاران دسترسی اولیه و گروه های باج افزار استفاده می شود. Resecurity گفت: "این عامل به احتمال زیاد متوجه شد که فعالیت او قابل شناسایی است و ارزش داده ها ممکن است در طول زمان کاهش یابد، به همین دلیل ایده کسب درآمد فوری یک گام مورد انتظار بود." چنین تاکتیکهایی اغلب توسط بازیگران دولت-ملت برای پوشاندن فعالیتهای خود برای محو کردن انگیزه حمله استفاده میشود"
گزارش شده است که مراکز داده آسیایی آسیب دیده اند
در حالی که Resecurity نامی از اپراتورهای مرکز داده ای که در این حمله شناسایی شده اند را ذکر نکرد، بلومبرگ مجدداً گزارش داد که هلدینگ GDS مستقر در شانگهای و مراکز داده جهانی ST Telemedia مستقر در سنگاپور از جمله سازمان های قربانی هستند.
بلومبرگ گزارش داد که GDS اذعان کرده است که به یک وب سایت پشتیبانی مشتری در سال 2021 رخنه شده است، اما گفته است که هیچ خطری برای سیستم ها یا داده های IT مشتریان وجود ندارد. ST Telemedia همچنین گفت هیچ خطری برای مشتریان وجود ندارد. به گزارش Resecurity، سازمانهایی که دادههای آنها شناسایی و فاش شده است شامل: موسسات مالی با حضور جهانی و همچنین صندوقهای سرمایهگذاری، شرکتهای تحقیقات زیست پزشکی، فروشندگان فناوری، سایتهای تجارت الکترونیک، خدمات ابری، ISPها و شرکتهای شبکه تحویل محتوا هستند. به گفته محققان، دفتر مرکزی این شرکت ها در ایالات متحده، بریتانیا، کانادا، استرالیا، سوئیس، نیوزلند و چین است.
Resecurity ، هیچ گروه شناخته شده APT را که مسئول این حملات باشد شناسایی نکرده است. محققان خاطرنشان می کنند که این امکان وجود دارد که قربانیان توسط چندین بازیگر مختلف به خطر بیفتند. Resecurity گفت در غیر این صورت، انتخاب RAMP بعنوان بازاری برای ارائه دادهها، برخی از سرنخها را به همراه داشت. RAMP پشتیبانی از زبان چینی را اضافه کرده و از پیوستن هکرهای چینی زبان استقبال کرده است. Resecurity گفت: «اکثر بخشهای انجمن دارای ترجمه چینی هستند و در آنجاست که میتوانیم چندین بازیگر را که از چین و کشورهای مستقر در جنوب شرق آسیا هستند شناسایی کنیم.
اطلاعات مربوط به فعالیت مخرب با طرفهای آسیبدیده و تیمهای ملی واکنش اضطراری رایانهای (CERT) در چین و سنگاپور به اشتراک گذاشته شده است. این شرکت تحقیقاتی همچنین اطلاعاتی را با مجریان قانون ایالات متحده به اشتراک گذاشت زیرا اطلاعات قابل توجهی مربوط به شرکت های بزرگ Fortune 500 در مجموعه داده ها وجود داشت.