حملات سایبری به مراکز داده برای سرقت اطلاعات از شرکت های جهانی

به گفته شرکت امنیت سایبری Resecurity، حملات سایبری که چندین مرکز داده را در چندین منطقه در سطح جهان هدف قرار می‌دهند، طی یک سال و نیم گذشته مشاهده شده‌اند که منجر به نفوذ اطلاعات مربوط به برخی از بزرگترین شرکت‌های جهان و انتشار اعتبار دسترسی در دارک وب شده است.

Resecurity در یک پست وبلاگی گفت: "فعالیت های مخرب سایبری که مراکز داده را هدف قرار می دهد، سابقه قابل توجهی در زمینه امنیت سایبری زنجیره تامین ایجاد می کند." " Resecurityانتظار دارد مهاجمان فعالیتهای سایبری مخرب مربوط به مراکز داده و مشتریان آنها را افزایش دهند."Resecurity نام قربانیان را ذکر نکرده است، اما بر اساس گزارش جداگانه‌ای از بلومبرگ، این حملات سایبری اعتبارنامه مراکز داده را از شرکت‌های بزرگی مانند علی‌بابا، آمازون، اپل، بی‌ام‌و، گلدمن ساکس، فن‌آوری‌های هواوی، مایکروسافت و والمارت به سرقت برده اند. بلومبرگ گفته است که اسناد امنیتی مربوط به این فعالیت مخرب را بررسی کرده است.

Resecurity برای اولین بار در سپتامبر 2021 به مراکز داده در مورد یک کمپین مخرب برای هدف قرار دادن آنها هشدار داد، و در مورد دو قسمت دیگر در طول سال های 2022 و ژانویه 2023 به بروز رسانی های بیشتری کرد. هدف از این فعالیت سرقت داده های حساس از شرکت ها و سازمان های دولتی بود که مشتریان مراکز داده ها هستند. 

سوابق مشتریان در dark web ریخته شده است

اخیراً، اعتبارنامه‌های مربوط به سازمان‌های مرکز داده به ‌دست‌ آمده در طول قسمت‌های مختلف کمپین مخرب در انجمن زیرزمینی Breached.to منتشر شده و توسط محققان شناسایی شد. برخی از بخش‌های آن حافظه پنهان داده‌ای خاص نیز توسط عوامل مختلف تهدید در تلگرام به اشتراک گذاشته شده است.

Resecurity چندین عامل را در dark web شناسایی کرده که احتمالاً از آسیا سرچشمه می‌گیرند، که در طول این کمپین موفق به دسترسی به سوابق مشتریان و استخراج آنها از یک یا چند پایگاه داده مرتبط با برنامه‌ها و سیستم‌های خاص مورد استفاده توسط چندین سازمان مرکز داده شدند.حداقل در یکی از موارد، دسترسی اولیه احتمالاً از طریق پیشخوان آسیب‌پذیر یا ماژول مدیریت تیکت که با برنامه‌ها و سیستم‌های دیگر ادغام شده بود، به دست آمده بود که به عامل تهدید اجازه می‌داد یک حرکت جانبی انجام دهد.

Resecurity گفته است که عامل تهدید توانست فهرستی از دوربین‌های مداربسته را با شناسه‌های جریان ویدئویی مرتبط که برای نظارت بر محیط‌های مرکز داده و همچنین اطلاعات اعتبار مربوط به کارکنان و مشتریان مرکز داده استخراج کند. پس از جمع‌آوری اعتبارنامه، عامل برای جمع‌آوری اطلاعات در مورد نمایندگان مشتریان سازمانی که عملیات در مرکز داده، فهرست خدمات خریداری‌شده و تجهیزات مستقر را مدیریت می‌کنند، یک جستجوی کامل انجام داد.

فعالیت مخرب داده های تأیید مشتری را هدف قرار می دهد

در سپتامبر 2021، زمانی که این کمپین برای اولین بار توسط محققان Resecurity مشاهده شد، عامل تهدید درگیر در آن قسمت توانست سوابق مختلفی را از بیش از 2000 مشتری مرکز داده جمع آوری کند. اینها شامل اعتبار، ایمیل، تلفن همراه و ارجاعات کارت شناسایی بود که احتمالاً برای مکانیسم های تأیید مشتری خاص استفاده می شود. (حدود 24 ژانویه 2023، سازمان آسیب دیده مشتریان را ملزم به تغییر رمز عبور خود کرد).

Resecurity گفت که این عامل همچنین توانست یکی از حساب‌های ایمیل داخلی مورد استفاده برای ثبت بازدیدکنندگان را به خطر بیاندازد که می‌توان از آن برای جاسوسی سایبری یا سایر اهداف مخرب استفاده کرد.

در دومین نمونه مشاهده شده از این کمپین، در سال 2022، این عامل توانست به پایگاه داده مشتریان که گمان می رود حاوی 1210 رکورد از یک سازمان مرکز داده مستقر در سنگاپور است، نفوذ کند.

سومین قسمت از این کمپین مخرب که در ژانویه سال جاری مشاهده شد، سازمانی در ایالات متحده را درگیر کرد که مشتری یکی از مراکز داده قبلاً تحت تأثیر قرار گرفته بود. Resecurity گفت: "اطلاعات مربوط به این قسمت در مقایسه با 2 قسمت قبلی محدود است، اما Resecurity توانست چندین اعتبار مورد استفاده توسط کارکنان فناوری اطلاعات را جمع‌آوری کند که اجازه دسترسی به پورتال مشتری در مرکز داده دیگری را داده است."

سپس در 28 ژانویه، اطلاعات به سرقت رفته در طول کمپین برای فروش در یک گروه زیرزمینی در دارک وب به نام Ramp منتشر شد، که اغلب توسط کارگزاران دسترسی اولیه و گروه های باج افزار استفاده می شود. Resecurity گفت: "این عامل به احتمال زیاد متوجه شد که فعالیت او قابل شناسایی است و ارزش داده ها ممکن است در طول زمان کاهش یابد، به همین دلیل ایده کسب درآمد فوری یک گام مورد انتظار بود." چنین تاکتیک‌هایی اغلب توسط بازیگران دولت-ملت برای پوشاندن فعالیت‌های خود برای محو کردن انگیزه حمله استفاده می‌شود"

گزارش شده است که مراکز داده آسیایی آسیب دیده اند

در حالی که Resecurity نامی از اپراتورهای مرکز داده ای که در این حمله شناسایی شده اند را ذکر نکرد، بلومبرگ مجدداً گزارش داد که هلدینگ GDS مستقر در شانگهای و مراکز داده جهانی ST Telemedia مستقر در سنگاپور از جمله سازمان های قربانی هستند.

بلومبرگ گزارش داد که GDS اذعان کرده است که به یک وب سایت پشتیبانی مشتری در سال 2021 رخنه شده است، اما گفته است که هیچ خطری برای سیستم ها یا داده های IT مشتریان وجود ندارد. ST Telemedia همچنین گفت هیچ خطری برای مشتریان وجود ندارد. به گزارش Resecurity، سازمان‌هایی که داده‌های آنها شناسایی‌ و فاش شده است شامل: موسسات مالی با حضور جهانی و همچنین صندوق‌های سرمایه‌گذاری، شرکت‌های تحقیقات زیست پزشکی، فروشندگان فناوری، سایت‌های تجارت الکترونیک، خدمات ابری، ISPها و شرکت‌های شبکه تحویل محتوا هستند. به گفته محققان، دفتر مرکزی این شرکت ها در ایالات متحده، بریتانیا، کانادا، استرالیا، سوئیس، نیوزلند و چین است.

Resecurity ، هیچ گروه شناخته شده APT را که مسئول این حملات باشد شناسایی نکرده است. محققان خاطرنشان می کنند که این امکان وجود دارد که قربانیان توسط چندین بازیگر مختلف به خطر بیفتند. Resecurity گفت در غیر این صورت، انتخاب RAMP بعنوان بازاری برای ارائه داده‌ها، برخی از سرنخ‌ها را به همراه داشت. RAMP پشتیبانی از زبان چینی را اضافه کرده و از پیوستن هکرهای چینی زبان استقبال کرده است. Resecurity گفت: «اکثر بخش‌های انجمن دارای ترجمه چینی هستند و در آنجاست که می‌توانیم چندین بازیگر را که از چین و کشورهای مستقر در جنوب شرق آسیا هستند شناسایی کنیم.

اطلاعات مربوط به فعالیت مخرب با طرف‌های آسیب‌دیده و تیم‌های ملی واکنش اضطراری رایانه‌ای (CERT) در چین و سنگاپور به اشتراک گذاشته شده است. این شرکت تحقیقاتی همچنین اطلاعاتی را با مجریان قانون ایالات متحده به اشتراک گذاشت زیرا اطلاعات قابل توجهی مربوط به شرکت های بزرگ Fortune 500 در مجموعه داده ها وجود داشت.