(Bloomberg) — Küresel bilgisayar ağlarının güvenlik açığının altını çizen bir bölümde, bilgisayar korsanları, bir siber güvenlik araştırma firmasına göre, dünyanın en büyük şirketlerinden bazıları tarafından kullanılan Asya'daki veri merkezleri için oturum açma kimlik bilgilerini ele geçirdiler; bu, casusluk veya sabotaj için potansiyel bir kazançtır. .
Bloomberg'den En Çok Okunan
Resecurity Inc.'e göre, daha önce bildirilmeyen veri önbellekleri, Asya'daki en büyük iki veri merkezi operatörünün müşteri destek web sitelerinin e-postalarını ve şifrelerini içeriyor: Şanghay merkezli GDS Holdings Ltd. ve Singapur merkezli ST Telemedia Global Data Centres. siber güvenlik hizmetleri ve bilgisayar korsanlarını araştırır. GDS ve STT GDC'nin yaklaşık 2,000 müşterisi etkilendi. Hack grubuna sızdığını söyleyen Resecurity'e göre, bilgisayar korsanları Çin'in ana döviz ve borç ticaret platformu ve Hindistan'dan diğer dört kişi de dahil olmak üzere en az beşinin hesabına giriş yaptı.
Bilgisayar korsanlarının diğer oturum açma işlemleriyle - eğer varsa - ne yaptıkları net değil. Bilgiler, Alibaba Group Holding Ltd., Amazon.com Inc., Apple Inc., BMW AG, Goldman Sachs Group Inc., Huawei Technologies Co., Microsoft Corp. dahil olmak üzere dünyanın en büyük şirketlerinden bazılarının değişen sayıda kimlik bilgilerini içeriyordu. ve Walmart Inc., güvenlik firmasına ve Bloomberg'in incelediği yüzlerce sayfalık belgeye göre.
Resecurity'nin bulgularıyla ilgili soruları yanıtlayan GDS, yaptığı açıklamada 2021 yılında bir müşteri destek web sitesinin ihlal edildiğini söyledi. Bilgisayar korsanlarının STT GDC verilerini nasıl elde ettikleri net değil. Bu şirket, müşteri hizmetleri portalının o yıl güvenliğinin ihlal edildiğine dair hiçbir kanıt bulamadığını söyledi. Her iki şirket de sahte kimlik bilgilerinin müşterilerin BT sistemleri veya verileri için bir risk oluşturmadığını söyledi.
Bununla birlikte, etkilenen dört büyük ABD merkezli şirketin Resecurity ve yöneticileri, çalınan kimlik bilgilerinin olağandışı ve ciddi bir tehlike oluşturduğunu, çünkü öncelikle veri merkezlerinde barındırılan BT ekipmanına kimin fiziksel olarak erişmesine izin verildiğini müşteri destek web sitelerinin kontrol ettiğini söyledi. Olayları Bloomberg News'ten öğrenen ve güvenlik ekipleriyle teyit eden bu yöneticiler, konu hakkında kamuya açıklama yapma yetkileri olmadığı için kimliklerinin açıklanmasını istemediler.
Haftalık siber güvenlik haber bültenimiz Cyber Bulletin'e buradan kaydolun.
Resecurity tarafından bildirilen veri kaybının boyutu, şirketlerin verileri ve BT ekipmanlarını barındırmak ve ağlarının küresel pazarlara ulaşmasına yardımcı olmak için üçüncü taraflara bağımlı olmaları nedeniyle karşı karşıya kaldıkları artan riskin altını çiziyor. Güvenlik uzmanları, sorunun özellikle şirketlerin yerel veri hizmeti sağlayıcılarıyla ortaklık kurmasını gerektiren Çin'de ciddi olduğunu söylüyor.
ABD'nin en büyük veri merkezi operatörlerinden biri olan Digital Realty Trust Inc.'in eski baş bilgi sorumlusu Michael Henry, Bloomberg tarafından olaylardan bahsedildiğinde, "Bu, olmasını bekleyen bir kabus" dedi. (Digital Realty Trust olaylardan etkilenmedi). Henry, herhangi bir veri merkezi operatörü için en kötü senaryonun, saldırganların bir şekilde müşterilerin sunucularına fiziksel erişim elde etmesi ve kötü amaçlı kod veya ek ekipman yüklemesi olduğunu söyledi. "Bunu başarabilirlerse, potansiyel olarak iletişimi ve ticareti büyük ölçekte bozabilirler."
GDS ve STT GDC, böyle bir şeyin olduğuna dair hiçbir emareye sahip olmadıklarını ve temel hizmetlerinin etkilenmediğini söylediler.
Resecurity'e ve Bloomberg tarafından incelenen gönderinin bir ekran görüntüsüne göre, bilgisayar korsanları oturum açma kimlik bilgilerine bir yıldan fazla bir süre eriştiler ve geçen ay 175,000 $'a karanlık ağda satışa sunmadan önce hacminden bunaldıklarını söylediler. .
Bilgisayar korsanları gönderide "Bazı hedefler kullandım" dedi. “Fakat toplam şirket sayısı 2,000'in üzerinde olduğu için idare edemiyoruz.”
Resecurity'e göre, e-posta adresleri ve şifreler, bilgisayar korsanlarının müşteri hizmetleri web sitelerinde yetkili kullanıcı kılığına girmesine izin vermiş olabilir. Güvenlik firması, Eylül 2021'de veri önbelleklerini keşfetti ve Resecurity'e göre, bilgisayar korsanlarının bunu GDS ve STT GDC müşterilerinin hesaplarına erişmek için kullandıklarına dair kanıt bulduğunu söyledi.
Resecurity'e göre, geçerli parolalar olmasa bile, veriler yine de değerli olacaktır - bilgisayar korsanlarının, şirketlerinin ağlarına üst düzey erişimi olan kişilere karşı hedefli kimlik avı e-postaları oluşturmasına olanak tanır.
Alibaba, Amazon, Huawei ve Walmart dahil olmak üzere Bloomberg News'in temas kurduğu etkilenen şirketlerin çoğu yorum yapmaktan kaçındı. Apple, yorum isteyen mesajlara yanıt vermedi.
Microsoft yaptığı açıklamada, "Microsoft'u etkileyebilecek tehditleri düzenli olarak izliyoruz ve potansiyel tehditler belirlendiğinde Microsoft'u ve müşterilerimizi korumak için uygun önlemleri alıyoruz." Goldman Sachs'ın bir sözcüsü, "Bu tür ihlallere karşı koruma sağlamak için ek kontrollerimiz var ve verilerimizin risk altında olmadığından memnunuz" dedi.
Otomobil üreticisi BMW, sorunun farkında olduğunu söyledi. Ancak bir şirket sözcüsü, "Değerlendirmeden sonra, sorunun BMW işletmeleri üzerinde çok sınırlı bir etkisi oldu ve BMW müşterilerine ve ürünle ilgili bilgilere herhangi bir zarar vermedi" dedi. Sözcü, "BMW, GDS'yi bilgi güvenliği seviyesini iyileştirmeye çağırdı."
GDS ve STT GDC, Asya'nın en büyük “ortak yerleşim” hizmetleri sağlayıcılarından ikisidir. Tipik olarak Asya'daki müşterilere ve iş operasyonlarına daha yakın olmak için veri merkezlerinde kendi BT ekipmanlarını kuran ve yöneten müşterilere ev sahibi olarak yer kiralarlar. Synergy Research Group Inc.'e göre GDS, ABD'den sonra dünyanın en büyük ikinci hizmet pazarı olan Çin'deki ilk üç ortak yerleşim sağlayıcısı arasında yer alıyor. Singapur altıncı sırada yer alıyor.
Şirketler de iç içe geçmiş durumda: Kurumsal bir dosya, 2014 yılında STT GDC'nin ana şirketi olan Singapore Technologies Telemedia Pte'nin GDS'de %40 hisse satın aldığını gösteriyor.
Resecurity İcra Kurulu Başkanı Gene Yoo, firmasının olayları 2021'de, çalışanlarından birinin Tayvan'daki hükümet hedeflerine saldıran Çin'deki bir bilgisayar korsanlığı grubuna sızmak için kılık değiştirdikten sonra ortaya çıkardığını söyledi.
Kısa bir süre sonra, Yoo ve belgelere göre GDS ve STT GDC'yi ve etkilenen az sayıda Resecurity istemcisini uyardı.
Resecurity, hesaplara erişen bilgisayar korsanlarını keşfettikten sonra Ocak ayında GDS ve STT GDC'yi tekrar bilgilendirdi ve Yoo ve belgelere göre güvenlik firması o sırada Çin ve Singapur'daki yetkilileri de uyardı.
Her iki veri merkezi operatörü de güvenlik sorunları hakkında bilgilendirildiklerinde derhal yanıt verdiklerini ve dahili soruşturmalar başlattıklarını söyledi.
Singapur Siber Güvenlik Ajansı sözcüsü Cheryl Lee, ajansın "olayın farkında olduğunu ve bu konuda ST Telemedia'ya yardım ettiğini" söyledi. Siber acil durum müdahalesini yöneten bir sivil toplum kuruluşu olan Çin Ulusal Bilgisayar Ağı Acil Durum Müdahale Teknik Ekibi/Koordinasyon Merkezi, yorum isteyen mesajlara yanıt vermedi.
GDS, bir müşteri destek web sitesinin ihlal edildiğini kabul etti ve 2021'de sitedeki bir güvenlik açığını araştırıp düzelttiğini söyledi.
Şirketten yapılan açıklamaya göre, "Bilgisayar korsanları tarafından hedef alınan uygulamanın kapsamı ve bilgileri, biletleme talepleri yapma, ekipmanın fiziksel teslimatını planlama ve bakım raporlarını inceleme gibi kritik olmayan hizmet işlevleriyle sınırlıdır." "Uygulama aracılığıyla yapılan talepler genellikle çevrimdışı takip ve onay gerektirir. Uygulamanın temel yapısı göz önüne alındığında, ihlal, müşterilerimizin BT operasyonlarına herhangi bir tehdit oluşturmadı.”
STT GDC, 2021'de olayı öğrendiğinde dışarıdan siber güvenlik uzmanları getirdiğini söyledi. Şirket, "Söz konusu BT sisteminin bir müşteri hizmetleri biletleme aracı olduğunu" ve "diğer kurumsal sistemlerle bağlantısı veya herhangi bir kritik veri altyapısı olmadığını" söyledi. .
Şirket, müşteri hizmetleri portalının 2021'de ihlal edilmediğini ve Resecurity tarafından alınan kimlik bilgilerinin "müşteri biletleme uygulamalarımız için kısmi ve güncel olmayan bir kullanıcı kimlik bilgileri listesi" olduğunu söyledi. Bu tür veriler artık geçersizdir ve ileriye dönük bir güvenlik riski oluşturmaz.”
STT GDC'nin açıklamasına göre “Hiçbir yetkisiz erişim veya veri kaybı gözlemlenmedi”.
Siber güvenlik uzmanları, bilgisayar korsanlarının bilgileri nasıl kullanmış olabileceğinden bağımsız olarak, hırsızlıkların saldırganların zorlu hedeflere sızmak için yeni yollar keşfettiğini gösterdiğini söyledi.
Intel Corp'un eski güvenlik ve gizlilik teklifi başkanı Malcolm Harkins, üçüncü taraf veri merkezlerindeki BT ekipmanlarının fiziksel güvenliğinin ve bunlara erişimi kontrol eden sistemlerin, genellikle kurumsal güvenlik departmanları tarafından gözden kaçan güvenlik açıklarını temsil ettiğini söyledi. Harkins, ekipmanın "yıkıcı sonuçları olabilir" dedi.
Bloomberg News tarafından incelenen belgelere göre bilgisayar korsanları, kendi çalışanları ve müşterilerinin çalışanları da dahil olmak üzere GDS'de 3,000'den fazla kişinin ve STT GDC'den 1,000'den fazla kişinin e-posta adreslerini ve şifrelerini ele geçirdi.
Belgelere göre bilgisayar korsanları, GDS'nin çoğu "admin" veya "admin30,000" gibi basit parolalara dayanan 12345'den fazla gözetleme kamerası ağının kimlik bilgilerini de çaldı. GDS, kamera ağına kimlik bilgilerinin çalındığı iddiasıyla veya şifrelerle ilgili bir soruyu yanıtlamadı.
Müşteri desteği web siteleri için oturum açma kimlik bilgilerinin sayısı, farklı müşteriler için değişiklik gösteriyordu. Örneğin, Alibaba'da 201, Amazon'da 99, Microsoft'ta 32, Baidu Inc.'de 16, Bank of America Corp.'ta 15, Bank of China Ltd.'de yedi, Apple'da dört ve Goldman'da üç hesap vardı. belgeler. Resecurity'den Yoo, bilgisayar korsanlarının bir şirketin müşteri hizmetleri portalındaki hesabına erişmek için yalnızca bir geçerli e-posta adresi ve parolaya ihtiyaç duyduğunu söyledi.
Resecurity ve belgelere göre çalışanlarının giriş bilgileri ele geçirilen diğer şirketler arasında şunlar yer alıyor: Hindistan'da Bharti Airtel Ltd., Bloomberg LP (Bloomberg News'in sahibi), ByteDance Ltd., Ford Motor Co., Globe Telecom Inc. Filipinler'de Mastercard Inc., Morgan Stanley, Paypal Holdings Inc., Porsche AG, SoftBank Corp., Avustralya'da Telstra Group Ltd., Tencent Holdings Ltd., Verizon Communications Inc. ve Wells Fargo & Co.
Baidu yaptığı açıklamada, “Hiçbir verinin tehlikeye atıldığına inanmıyoruz. Baidu, müşterilerimizin veri güvenliğini sağlamaya büyük önem vermektedir. Bunun gibi konuları yakından takip edeceğiz ve operasyonlarımızın herhangi bir bölümünde veri güvenliğine yönelik ortaya çıkan tehditlere karşı tetikte olacağız.”
Porsche temsilcisi, "Bu özel durumda, herhangi bir risk olduğuna dair hiçbir göstergemiz yok" dedi. Bir SoftBank temsilcisi, Çinli bir yan kuruluşun geçen yıl GDS kullanmayı bıraktığını söyledi. Temsilci, "Yerel Çin şirketinden müşteri bilgileri veri sızıntısı doğrulanmadı ve iş ve hizmetleri üzerinde herhangi bir etkisi olmadı" dedi.
Telstra'nın bir sözcüsü, "Bu ihlali takiben iş üzerinde herhangi bir etkinin farkında değiliz" derken, bir Mastercard temsilcisi, "Bu durumu izlemeye devam ederken, işimize yönelik herhangi bir riskin veya etkimizin farkında değiliz" dedi. işlem ağımız veya sistemlerimiz.”
Tencent'in bir temsilcisi, "Bu ihlali takiben iş üzerinde herhangi bir etkinin farkında değiliz. Veri merkezi tesisi operatörlerinin Tencent sunucularında depolanan hiçbir veriye erişimi olmadığı için, sunucularımızı doğrudan veri merkezlerinin içinde yönetiyoruz. Araştırmadan sonra, güvenli ve emniyetli durumda olan BT sistemlerimize ve sunucularımıza herhangi bir yetkisiz erişim tespit etmedik.”
Wells Fargo'nun bir sözcüsü, Aralık 2022'ye kadar yedek BT altyapısı için GDS kullandığını söyledi. Şirket, "GDS'nin Wells Fargo verilerine, sistemlerine veya Wells Fargo ağına erişimi yoktu" dedi. Diğer şirketlerin hepsi yorum yapmayı reddetti veya yanıt vermedi.
Resecurity'den Yoo, Ocak ayında, firmasının gizli ajanının bilgisayar korsanlarına hesaplara hala erişimleri olup olmadığını göstermeleri için baskı yaptığını söyledi. Bilgisayar korsanlarının, beş şirketin hesabına giriş yaptıklarını ve GDS ve STT GDC çevrimiçi portallarında farklı sayfalara gittiklerini gösteren ekran görüntüleri sağladıklarını söyledi. Resecurity, Bloomberg News'in bu ekran görüntülerini incelemesine izin verdi.
Ekran görüntülerine ve Resecurity'e göre bilgisayar korsanları, GDS'de Çin Merkez Bankası'nın ülkenin ekonomisinde kilit rol oynayan ve hükümetin ana döviz ve borç ticaret platformunu işleten bir kolu olan Çin Döviz Ticaret Sistemi'nin bir hesabına erişti. Organizasyon mesajlara cevap vermedi.
STT GDC'de bilgisayar korsanları, ülke genelindeki internet sağlayıcılarını birbirine bağlayan bir kuruluş olan Hindistan Ulusal İnternet Borsası ve Hindistan merkezli diğer üç kuruluşun hesaplarına erişti: MyLink Services Pvt., Skymax Broadband Services Pvt. ve Logix InfoSecurity Pvt., ekran görüntüleri gösteriyor.
Bloomberg'in ulaştığı Hindistan Ulusal İnternet Borsası, olaydan haberdar olmadığını söyledi ve daha fazla yorum yapmaktan kaçındı. Hindistan'daki diğer kuruluşların hiçbiri yorum taleplerine yanıt vermedi.
Bilgisayar korsanlarının çalınan kimlik bilgilerini kullanarak Ocak ayında hesaplara erişmeye devam ettiği iddiası sorulduğunda, bir GDS temsilcisi, "Kısa bir süre önce, eski hesap erişim bilgilerini kullanan bilgisayar korsanlarından çok sayıda yeni saldırı tespit ettik. Bu saldırıları engellemek için çeşitli teknik araçlar kullandık. Şimdiye kadar, sistem güvenlik açığımızdan kaynaklanan bilgisayar korsanlarından başarılı yeni bir izinsiz giriş bulamadık.”
GDS yetkilisi, “Bildiğimiz üzere bir müşterimiz eski bir çalışanına ait olan bu uygulamaya ait hesap şifrelerinden birini sıfırlamadı. Yakın zamanda tüm kullanıcılar için parola sıfırlamayı zorunlu kılmamızın nedeni budur. Bunun münferit bir olay olduğuna inanıyoruz. Bu, bilgisayar korsanlarının güvenlik sistemimizi aşmasının bir sonucu değil.”
STT GDC, Ocak ayında "Hindistan ve Tayland bölgelerimizde" müşteri hizmetleri portallarına yönelik başka tehditlere ilişkin bildirim aldığını söyledi. Şirket, "Bugüne kadar yaptığımız araştırmalar, bu müşteri hizmetleri portallarının hiçbirinde veri kaybı veya etkisinin olmadığını gösteriyor" dedi.
Yoo'ya göre, Ocak ayının sonlarında, GDS ve STT GDC müşterilerin şifrelerini değiştirdikten sonra, Resecurity bilgisayar korsanlarının veritabanlarını bir karanlık web forumunda İngilizce ve Çince olarak satışa çıkardığını tespit etti.
Gönderide, "Veri tabanları müşteri bilgilerini içerir, kimlik avı, dolaplara erişim, siparişlerin ve ekipmanların izlenmesi, uzaktan el siparişleri için kullanılabilir" ifadesi yer aldı. "Hedefli kimlik avına kim yardımcı olabilir?"
Bloomberg Businessweek'ten En Çok Okunan
© 2023 Bloomberg LP
Kaynak: https://finance.yahoo.com/news/hackers-scored-data-center-logins-020028440.html