La sécurité est Blog« La cyberactivité malveillante ciblant les entreprises de centres de données crée un précédent important dans le contexte de la cybersécurité de la chaîne d’approvisionnement. Il est probable que les attaquants continueront à s’engager activement dans des activités malveillantes contre les entreprises de centres de données et leurs clients.
La sécurité n’a pas nommé les victimes, mais Bloomberg a signalé séparément que les informations d’identification des centres de données des principaux conglomérats, notamment Alibaba, Amazon, Apple, BMW, Goldman Sachs, Huawei Technologies, Microsoft et Walmart, avaient été volées. Bloomberg a expliqué qu’il avait examiné les documents de Re-Security liés à des activités malveillantes.
La sécurité a détecté pour la première fois les premiers indicateurs d’une campagne d’attaques en septembre 2021. Elle a depuis obtenu des renseignements supplémentaires sur la même activité en 2022 et janvier 2023. L’objectif de l’attaque était de voler des données sensibles aux entreprises et aux agences gouvernementales utilisant le centre de données.
Informations clients diffusées sur le dark web
Les informations d’identification des entreprises utilisant des centres de données acquis dans le cadre d’une campagne malveillante ont été publiées sur le dark web, Breached.to. L’équipe de recherche sur la sécurité a également découvert que plusieurs acteurs de la menace partageaient des fragments de certains caches de données sur Telegram. Nous avons également trouvé plusieurs acteurs de la menace basés en Asie sur le dark web qui ont divulgué des informations sur les clients d’une ou plusieurs bases de données liées à des applications/systèmes spécifiques utilisés par le centre de données.
Dans au moins un cas, l’accès initial a très probablement été obtenu via un service d’assistance faible ou un module de gestion des tickets intégré à une autre application/système. L’acteur menaçant semble avoir fait un mouvement latéral sur cette base.
Après avoir extrait une liste de CCTV avec des identifiants de flux vidéo utilisés pour surveiller l’environnement du centre de données et les informations d’identification associées au personnel informatique et aux clients du centre de données, l’attaquant extrait les représentants des clients de l’entreprise qui gèrent les opérations au centre de données, une liste des services achetés et déployés. Une recherche active a été menée pour recueillir des informations sur
Destiné aux données d’authentification du client
Lorsque la campagne a été observée pour la première fois par l’équipe de recherche en sécurité en septembre 2021, les acteurs de la menace impliqués dans l’activité ont collecté divers enregistrements de plus de 2 000 clients de centres de données. Il comprend des informations d’identification pouvant être utilisées pour des mécanismes d’authentification client spécifiques, ainsi que des références d’e-mail, de téléphone mobile et d’identification. (Le 24 janvier 2023, les entreprises concernées ont demandé aux clients de changer leurs mots de passe.)
Les acteurs de la menace ont également compromis les comptes de messagerie internes utilisés pour l’enregistrement des visiteurs. Selon ReSecurity, cela pourrait être exploité à des fins de cyberespionnage ou à d’autres fins malveillantes.
Une deuxième campagne, observée en 2022, a divulgué une base de données clients qui contiendrait 1 210 enregistrements d’une société de centres de données basée à Singapour.
La troisième attaque, en janvier 2023, impliquait une entreprise aux États-Unis utilisant l’un des centres de données touchés par la campagne précédente. “Nous n’avons pas beaucoup plus d’informations sur la troisième campagne que sur les deux autres, mais nous avons rassemblé quelques informations d’identification que le personnel informatique utilise pour accorder l’accès aux portails clients dans d’autres centres de données”, explique ReSecurity. À cette époque, les données volées étaient vendues sur le Dark Web RAMP, qui est souvent utilisé par les courtiers en accès anticipé et les groupes d’attaque de ransomwares le 28 janvier.
“Les attaquants ont peut-être réalisé que leur activité peut être détectée et que les données se déprécient avec le temps”, explique ReSecurity. Donc, j’aurais trouvé une idée pour le monétiser immédiatement. “Cette tactique est souvent utilisée par les acteurs de la menace au niveau de l’État pour masquer leurs activités, généralement afin de masquer leurs motivations”, a-t-il ajouté.
ReSecurity n’a pas nommé les opérateurs de centres de données concernés, mais Bloomberg a déclaré que GDS Holding, basé à Shanghai, et ST Telemedia Global Data Center, basé à Singapour, faisaient partie des personnes concernées. GDS a reconnu que son site Web d’assistance à la clientèle avait été piraté en 2021, affirmant qu’il n’y avait aucun risque pour les systèmes informatiques ou les données des clients. ST Telemedia a également expliqué qu’il n’y a aucun risque pour les clients.
Selon ReSecurity, les entreprises identifiées dans l’ensemble de données divulguées comprennent des fonds d’investissement, des sociétés de recherche biomédicale, des fournisseurs de technologie, des sites de commerce électronique, des services cloud, des FAI et des réseaux de diffusion de contenu, ainsi que des institutions financières du monde entier. Selon l’équipe de recherche, ces sociétés ont leur siège social aux États-Unis, au Royaume-Uni, au Canada, en Australie, en Suisse, en Nouvelle-Zélande et en Chine.
Bien que ReSecurity n’ait identifié aucun mouvement connu de groupes APT dans son enquête, il a noté que les informations divulguées pourraient exposer les victimes à des attaques par d’autres acteurs de la menace.
L’équipe de recherche a également pris quelques indices selon lesquels le dark web où les attaquants vendaient leurs données était RAMP. RAMP est une communauté qui prend en charge la traduction chinoise et accueille la participation de hackers parlant chinois. “La plupart des sections du forum avaient des traductions en chinois, et c’est un site représentatif pour identifier les acteurs de la menace basés en Chine et dans les pays d’Asie du Sud-Est”, a déclaré ReSecurity.
Entre-temps, les informations identifiées dans l’enquête ont été partagées avec les entreprises concernées et les équipes nationales d’intervention en cas d’urgence informatique (CERT) en Chine et à Singapour. Nous avons également partagé les résultats avec les forces de l’ordre américaines, car l’ensemble de données contenait une quantité importante d’informations relatives aux entreprises du Standard 500.