Hakeri došli do ćupa sa zlatom i ogolili ranjivost svetskih mreža

U epizodi koja pokazuje svu ranjivost svetskih računarskih mreža, hakeri su dobili podatke za prijavu na centre podataka u Aziji koje koriste neke od najvećih svetskih preduzeća. Za špijune ili one koji se bave sabotažom, ovo bi mogao da bude pravi ćup sa zlatom, navode iz istraživačke firme za sajber-bezbednost.

Ranije neprijavljene grupe podataka uključuju imejlove i lozinke za korisničku podršku dva najveća operatera data centara u Aziji: GDS Holdings Ltd. sa sedištem u Šangaju i ST Telemedia Global Data Centres sa sedištem u Singapuru, prema Resecurity Inc., firmi koja se bavi sajber-bezbednošću i istražuje hakere. Pogođeno je oko 2.000 korisnika GDS-a i STT GDC-a. Hakeri su se prijavili na naloge najmanje pet njih, uključujući glavnu kinesku onlajn menjačnicu i četiri druge iz Indije, navodi Resecurity, koji je rekao da se infiltrirao u hakersku grupu.

Nije jasno šta su hakeri uradili (ako su išta uradili) sa ostalim podacima. Informacije su uključivale različit broj podataka za prijavu na sajtove nekih od najvećih svetskih kompanija, uključujući Alibaba Group Holding Ltd, Amazon.com Inc, Apple Inc, BMW AG, Goldman Sachs Group Inc, Huawei Technologies Co, Microsoft Corp, i Walmart Inc, prema bezbednosnoj firmi i stotinama stranica dokumenata koja je Bloomberg pregledao.

Odgovarajući na pitanja o nalazima Resecuritya, GDS je u saopštenju naveo da je sajt za korisničku podršku hakovan 2021. Nije jasno kako su hakeri došli do podataka STT GDC-a. Ta kompanija je saopštila da nije pronašla dokaze da je njen portal za korisničku podršku napadnut te godine. Obe kompanije su rekle da lažni akreditivi ne predstavljaju rizik za IT sisteme ili podatke klijenata.

Međutim, Resecurity i rukovodioci četiri velike američke kompanije koje su bile pogođene, rekli su da ukradeni podaci predstavljaju neobičnu i ozbiljnu opasnost, prvenstveno zato što sajtovi za korisničku podršku kontrolišu fizički pristup IT opremi koja se nalazi u centrima podataka. Oni rukovodioci koji su za incidente saznali od Bloomberg Newsa i potvrdili informacije sa svojim bezbednosnim timovima, tražili su da ne budu identifikovani jer nisu bili ovlašćeni da javno govore o tome.

Depositphotos

Obim curenja podataka koji je prijavio Resecurity pokazuje da raste rizik sa kojim se kompanije suočavaju zbog njihove zavisnosti od podizvođača u skladištenju podataka i IT opreme. Kompanije moraju ovo da rade kako bi njihove mreže došle do svetskih tržišta. Stručnjaci za bezbednost kažu da je ovo pitanje posebno problematično u Kini, koja zahteva da korporacije koriste usluge lokalnih IT firmi.

"Ovo je noćna mora koja će se ostvariti svakog trena", rekao je Michael Henry, bivši direktor informacija za Digital Realty Trust Inc, jednog od najvećih operatera centara podataka u SAD, kada mu je Bloomberg rekao za incidente. (Incidenti nisu uticali na Digital Realty Trust.) Najgori scenario za bilo kog operatera data centra je da napadači nekako dobiju fizički pristup serverima klijenata i instaliraju virus ili dodatnu opremu, rekao je Henry. "Ako to mogu da postignu, mogu potencijalno da znatno poremete komunikaciju i trgovinu."

GDS i STT GDC su rekli da nemaju naznaka da se tako nešto dogodilo i da to nije uticalo na njihove osnovne usluge.

Hakeri su imali pristup podacima za prijavu više od godinu dana pre nego što su ih prošlog meseca postavili na prodaju na mračnom internetu (eng. dark web): cena je iznosila 175.000 dolara, a prodavci su rekli da je količina podataka prevelika da bi se dalje skladištili, navode iz Resecuritija, a to pokazuje i skrinšot u koji je Bloomberg imao uvid.

"Koristio sam neke mete", rekli su hakeri u objavi. "Ali ne mogu da iskoristim sve jer je ukupan broj kompanija preko 2.000."

Imejl adrese i lozinke su mogle da omoguće hakerima da ostvare pristup kao ovlašćeni korisnici na sajtovima korisničke službe, navodi Resecurity. Bezbednosna firma je otkrila grupe podataka u septembru 2021. i rekla da je takođe pronašla dokaze da su ih hakeri koristili za pristup nalozima GDS i STT GDC klijenata nedavno u januaru, kada su oba operatera data centra naterala klijenta da resetuju lozinke, navodi Resecurity.

Čak i bez važećih lozinki, podaci bi i dalje bili dragoceni jer omogućavaju hakerima da nađu bolje adrese za svoje "phishing" mejlove i ciljaju ljude sa visokim stepenom ovlašćenja na mrežama svojih kompanija, navodi Resecurity.

Depositphotos

Većina pogođenih kompanija koje je Bloomberg News kontaktirao, uključujući Alibabu, Amazon, Huawei i Walmart, odbili su da komentarišu. Apple nije odgovorio na poruke u kojima je tražen komentar.

U izjavi, Microsoft je rekao: "Redovno pratimo pretnje koje bi mogle da utiču na Microsoft i kada se identifikuju potencijalne pretnje, preduzimamo odgovarajuće mere da zaštitimo Microsoft i naše klijente." Portparol Goldman Sachs je rekao: "Postavili smo dodatne kontrole za zaštitu od ove vrste napada i zadovoljni smo što naši podaci nisu bili ugroženi."

Proizvođač automobila BMW rekao je da je svestan problema. Međutim, portparol kompanije je rekao: "Nakon procene saopštavamo da problem ima veoma ograničen uticaj na odeljenja BMW-a i nije naneo nikakvu štetu našim kupcima u pogledu podataka." Portparol je dodao: "BMW je apelovao na GDS da poboljša nivo bezbednosti."

GDS i STT GDC su dva najveća azijska provajdera usluga "kolokacije". Oni se ponašaju kao stanodavci, iznajmljuju prostor u svojim data centrima klijentima koji tamo instaliraju i upravljaju sopstvenom IT opremom, obično da bi bili bliže klijentima i odeljenjima kompanija u Aziji. GDS je među tri najbolja provajdera kolokacije u Kini, drugom najvećem tržištu usluga na svetu posle SAD, prema Sinergy Research Group Inc. Singapur je na šestom mestu.

Kompanije su takođe isprepletene: korporativna dokumentacija pokazuje da je 2014. Singapore Technologies Telemedia Pte, matična kompanija STT GDC, stekla 40 odsto udela u GDS-u.

Izvršni direktor za bezbednost Gene Yoo rekao je da je njegova firma otkrila incidente 2021. godine nakon što se jedan od njenih operativaca infiltrirao u hakersku grupu u Kini koja je napala mete vlade na Tajvanu.

Ubrzo nakon toga, upozorio je GDS i STT GDC i mali broj Resecurity klijenata koji su bili pogođeni, prema Yoou i dokumentima.

Resecurity je ponovo kontaktirala sa GDS i STT GDC u januaru nakon što je otkrila da hakeri pristupaju nalozima, a bezbednosna firma je takođe upozorila vlasti u Kini i Singapuru u to vreme, prema navodima Yoou i dokumentima.

Oba operatera data centara rekli su da su brzo reagovali kada su obavešteni o bezbednosnim problemima i da su započeli interne istrage.

Cheryl Lee, portparolka Singapurske agencije za sajber-bezbednost, rekla je da je agencija "svesna incidenta i pomaže ST Telemedia po ovom pitanju". CNCERT/CC, kineska nevladina organizacija koja se bavi hitnim odgovorima na sajber pretnje, nije odgovorila na pitanja.

GDS je priznao da je hakovan veb-sajt za korisničku podršku i rekao da je istražio i ojačao ranjiva mesta u kodu sajta 2021.

"Aplikacija koja je bila na meti hakera je ograničena po obimu informacija kojima se može pristupiti, kao što su zahtevi za izdavanje karata, zakazivanje fizičke isporuke opreme i pregled izveštaja o održavanju", navodi se u saopštenju kompanije. "Zahtevi upućeni putem aplikacije obično zahtevaju praćenje i potvrdu van mreže. S obzirom na osnovnu prirodu aplikacije, kršenje nije dovelo do bilo kakve pretnje IT operacijama naših klijenata."

STT GDC je rekao da je doveo eksterne stručnjake za sajber-bezbednost kada je saznao za incident 2021. godine. "Dotični IT sistem je alatka za izdavanje tiketa za korisničku službu" i "nema veze sa drugim korporativnim sistemima niti bilo kakvom infrastrukturom kritičnih podataka", saopštila je kompanija.

Depositphotos

Kompanija je saopštila da njen portal za korisničku podršku nije hakovan 2021. godine i da su podaci koje je Resecurity dobila "delimična i zastarela lista korisničkih podataka za naše aplikacije za prodaju karata. Svi takvi podaci su sada nevažeći i neće predstavljati bezbednosni rizik u budućnosti."

"Nije primećen neovlašćeni pristup ili gubitak podataka", navodi se u saopštenju STT GDC.

Bez obzira na to kako su hakeri koristili te informacije, stručnjaci za sajber-bezbednost kažu da krađe pokazuju da napadači istražuju nove načine da se infiltriraju u "teške mete".

Fizička bezbednost IT opreme u iznajmljenim prostorima i sistemi za kontrolu pristupa njima predstavljaju ranjivosti koje odeljenja za korporativnu bezbednost često zanemaruju, rekao je Malcolm Harkins, bivši šef ponude za bezbednost i privatnost Intel Corp. Bilo kakvo neovlašćeno mešanje u rad opreme centra podataka "moglo bi da ima razorne posledice", rekao je Harkins.

Hakeri su dobili imejl adrese i lozinke za više od 3.000 ljudi u GDS-u - uključujući zaposlene i klijente - i više od 1.000 klijenata STT GDC-a, prema dokumentima koje je pregledao Bloomberg News.

Hakeri su takođe ukrali podakte za prijavu na GDS-ovu mrežu od više od 30.000 kamera za nadzor, od kojih se većina oslanjala na jednostavne lozinke kao što su "admin" ili "admin12345", pokazuju dokumenta. GDS se nije pozabavio pitanjem o navodnoj krađi podataka za prijavu za mrežu kamera, niti o lozinkama.

Broj podataka za prijavu na sajt korisničke podrške varirao je za različite klijente. Na primer, postojao je 201 nalog u Alibabi, 99 u Amazonu, 32 u Microsoftu, 16 u Baidu Inc, 15 u Bank of America Corp, sedam u Bank of China Ltd, četiri u Appleu i tri u Goldmanu, pokazuju dokumenta. Yoo iz Resecurity je rekao da je hakerima potrebna samo jedna važeća imejl adresa i lozinka za pristup nalogu kompanije na portalu za korisničku podršku.

Među ostalim kompanijama čiji su podaci za prijavu radnika dobijeni, prema Reseccuritiy i dokumentima, bili su: Bharti Airtel Ltd. u Indiji, Bloomberg LP (vlasnik Bloomberg News), ByteDance Ltd, Ford Motor Co, Globe Telecom Inc. na Filipinima, Mastercard Inc, Morgan Stanley, Paypal Holdings Inc, Porsche AG, SoftBank Corp, Telstra Group Ltd. u Australiji, Tencent Holdings Ltd, Verizon Communications Inc. i Wells Fargo & Co.

U saopštenju, Baidu je rekao: "Ne verujemo da je bilo koji podatak kompromitovan. Baidu posvećuje posebnu pažnju bezbednosti podataka naših klijenata. Pažljivo ćemo pratiti ovakve stvari i biti na oprezu po pitanju svake nove pretnje bezbednosti podataka u bilo kom delu naših operacija."

Predstavnik Porschea je rekao: "U ovom konkretnom slučaju nemamo naznaka da je postojao bilo kakav rizik." Predstavnik SoftBank rekao je da je kineska podružnica prestala da koristi GDS prošle godine. "Nije potvrđeno nikakvo curenje podataka o klijentima iz lokalne kineske kompanije, niti je bilo kakvog uticaja na njeno poslovanje i usluge", rekao je predstavnik.

Portparol Telstre je rekao: "Nismo svesni bilo kakvog uticaja na poslovanje nakon ovog napada", dok je predstavnik Mastercarda rekao: "Dok nastavljamo da pratimo ovu situaciju, nismo svesni bilo kakvih rizika po naše poslovanje ili uticaja na naše transakcione mreže ili sisteme."

Predstavnik Tencenta je rekao: "Nismo svesni bilo kakvog uticaja na poslovanje nakon ovog napada. Mi direktno upravljamo našim serverima unutar centara podataka, pri čemu operateri centara podataka nemaju pristup podacima koji se čuvaju na Tencent serverima. Nismo otkrili nikakav neovlašćeni pristup našim IT sistemima i serverima nakon istrage, koji ostaju bezbedni i stabilni."

Bloomberg

Portparol kompanije Wells Fargo rekao je da je kompanija koristila GDS za rezervnu IT infrastrukturu do decembra 2022. "GDS nije imao pristup podacima, sistemima ili mreži Wells Fargo", saopštila je kompanija. Ostale kompanije su odbile da komentarišu ili nisu odgovorile.

Yoo iz Resecurity rekao je da je u januaru tajni operativac njegove firme pritiskao hakere da pokažu da li još uvek imaju pristup nalozima. Hakeri su dali snimke ekrana na kojima se vidi kako se prijavljuju na naloge za pet kompanija i odlaze do različitih stranica na GDS i STT GDC onlajn portalima, rekao je. Resecurity je dozvolila Bloomberg News da pregleda te skrinšotove.

U GDS-u, hakeri su pristupili nalogu za Kineski devizni trgovinski sistem, ogranak kineske centralne banke koji igra ključnu ulogu u ekonomiji te zemlje jer upravlja glavnom vladinom platformom za trgovinu devizama i obveznicama. Iz organizacije nisu odmah odgovorili na poruke.

U STT GDC, hakeri su pristupili nalozima za National Internet Exchange of India (Nacionalna internet berza Indije), organizaciju koja povezuje internet provajdere širom zemlje, i tri druge sa sedištem u Indiji: MyLink Services Pvt, Skymax Broadband Services Pvt, i Logix InfoSecurity Pvt, pokazuju skrinšotovi.

Bloomberg je kontaktirao sa Nacionalnom internet berzom Indije, koja je rekla da nije upoznata sa incidentom i odbila je dalje komentarisanje. Nijedna druga organizacija u Indiji nije odgovorila na zahteve za komentar.

Upitan o tvrdnji da su hakeri i dalje pristupali nalozima u januaru koristeći ukradene podatke, predstavnik GDS-a je rekao: "Nedavno smo otkrili više novih napada hakera koristeći stare informacije o pristupu nalogu. Koristili smo različite tehničke alate da blokiramo ove napade. Do sada nismo zabeležili uspešan hakerski napad koji je iskoristio ranjivost našeg sistema".

Predstavnik GDS-a je dodao: "Kao što znamo, jedan jedini korisnik nije resetovao jednu od svojih lozinki naloga za ovu aplikaciju koja je pripadala njihovom bivšem zaposlenom. To je razlog zašto smo nedavno nametnuli resetovanje lozinke za sve korisnike. Verujemo da je ovo izolovan događaj. To nije rezultat hakerskog napada koji je prodro u naš bezbednosni sistem".

STT GDC je saopštio da je u januaru dobio obaveštenje o dodatnim pretnjama portalima za korisničku podršku u "regionima Indije i Tajlanda". "Naša dosadašnja istraživanja pokazuju da nije bilo gubitka podataka ili uticaja na bilo koji od ovih portala za korisničku podršku", saopštila je kompanija.

Krajem januara, nakon što su GDS i STT GDC promenili korisničke lozinke, Resecurity je zabeležio pokušaje hakera da podatke prodaju na mračnom internetu, na engleskom i kineskom, rekao je Yoo.

"Baze podataka sadrže informacije o klijentima, mogu se koristiti za phishing, pristup, praćenje narudžbi i opreme, narudžbine na daljinu", navodi se u postu. "Ko može da pomogne sa ciljanim phishingom?"

 

Da kontaktirate sa autorom priče:

Jordan Robertson, London na jrobertson40@bloomberg.net

Trenutno nema komentara za vest. Ostavite prvi komentar...

Ostavi komentar