据彭博社报道,近2年以来,黑客组织入侵了全球多个地区的多个数据中心,掌握了大量国际巨头企业的登录凭证,并在暗网上以17.5万美元的价格打包售卖。
针对数据中心组织的恶意网络活动在供应链网络安全领域开创了一个重大先例,预计攻击者会增加与数据中心及其客户相关的恶意网络活动。
据悉,网络攻击窃取了阿里巴巴、亚马逊、苹果、宝马、高盛、华为、微软和沃尔玛等2000多家公司的数据中心证书。
这是一次凸显全球计算机网络脆弱性的标志性事件,黑客通过入侵亚洲最大数据中心,获取了国际巨头企业的登录凭证,这意味着他们已经掌握了通向巨大潜在财富的大门钥匙。
▍大规模数据泄露,国内头部企业尤其需要警惕
调查显示,黑客获得多家巨头企业用户的电子邮件和密码,来自亚洲最大的两家数据中心:总部位于上海的万国数据(GDS Holdings Ltd.)和总部位于新加坡的新科电信媒体(ST Telemedia Global data Centres)。
万国数据和新科电信媒体都是亚洲最大的数据中心服务提供商之一。两家运营商关系也十分密切,2014年,新科电信媒体母公司新加坡科技(Telemedia Pte)收购了万国数据 40%的股份。万国数据也是国内排名前三的托管服务提供商之一。
2000多家企业受到本次数据泄露的影响,根据目前掌握的信息,黑客已经使用了其中至少5家公司的登录凭证,但当前还无从得知黑客使用其他登录凭证的情况。
万国数据在一份声明中表示,客户支持网站在2021年遭到破坏。目前尚不清楚黑客是如何获得新科电信媒体数据的。该公司表示,没有发现任何证据表明其客户服务门户网站当年遭到了破坏。
两家数据中心都表示,恶意凭证不会对客户的IT系统或数据构成风险。但在今年1月,两家运营商都曾强制企业客户重置了登录密码。
如此大规模的数据泄露突显了公司面临的日益增长的风险,因为它们依赖第三方来存放数据和IT设备,并帮助其网络进入全球市场。安全专家表示,中国是全球第二大托管服务市场,仅次于美国,因此这一问题对于国内企业来说尤为严重。
▍被窃数据被免费转存至暗网,以17.5万美元被打包出售
1月下旬,在万国数据和新科电信媒体更改了客户密码后,黑客在暗网论坛上发布了待出售的数据库。
帖子中写道:“数据库包含客户信息,可用于网络钓鱼、访问机柜、监控订单和设备、远程手动订单。”。
黑客在上个月以17.5万美元的价格在暗网上出售之前,已经获取了一年多的登录凭据,并表示由于获取凭证的公司超过2000家,他们无法处理如此庞大的数据。有消息显示,黑客组织似乎正在将窃取的数据免费转存至暗网。
目前尚未能够将这些攻击与已知的黑客组织联系起来。当数据中心运营商强制重置密码时,黑客可能会将这些信息出售,从而降低其价值。专家表示,盗窃凭证的行为表明,攻击者正在探索新的方法来渗透硬件设施。
黑客获得了万国数据3000多人的完整电子邮件地址和密码,包括该公司自己的员工和客户,以及新科电信媒体1000多人的信息。为了安全起见,数据被散列或加密,但文件显示,这些加密数据能够通过简单工具轻松解码。这些电子邮件地址和密码能够让黑客伪装成客户服务网站上的授权用户。
▍史诗级数据泄露将带来不可估量的损失
文件显示,黑客还窃取了万国数据网络中30000多个监控摄像头的凭据,其中大多数都依赖“admin”或“admin12345”等简单密码。
根据相关文件,被泄露员工登录信息的其他公司包括:彭博社、字节跳动、福特、万事达、摩根士丹利、Paypal、保时捷、软银、Telstra、腾讯、威瑞森通信和富国银行。
客户支持网站的登录凭据数量因客户而异。但黑客只需要一个有效的电子邮件地址和密码就可以访问客户服务门户网站上的公司帐户。
即便两家运营商已经强制重置了客户密码,这些数据仍然很有价值——黑客可以利用其制作有针对性的网络钓鱼邮件,来攻击具有高权限的管理层。
“这是一场可预见的噩梦。”
多家公司高管表示,凭证被盗是一种不寻常的安全风险,因为客户支持网站控制着谁可以实际访问数据中心的IT设备。
英特尔前首席安全和隐私官Malcolm Harkins表示,第三方数据中心的IT设备的物理安全以及控制访问的系统存在着企业安全部门经常忽视的漏洞。
对于任何数据中心运营商来说,最坏的情况是攻击者以某种方式访问客户的服务器,并安装恶意代码或额外的设备,进而大规模破坏通信和业务体系。
我们建议任何借助第三方托管数据和IT设备的公司提前做好主动防御,同样,拥有自建数据中心机房或使用公有云的企业也需要提前做好主动防御。塞讯安全度量验证平台为您提供可基于ATT&CK技战术筛选攻击手法的攻击库,您可以登录平台选择“凭据访问”、“C&C回连”和“数据泄露”等相关攻击手法,通过还原真实的攻击场景来验证您的安全防御体系是否能够抵御本次数据泄露危机。