Преступники нацелились на операторов центров обработки данных в Сингапуре и Китае, подключились к их камерам видеонаблюдения, получили доступ к спискам их арендаторов, а затем атаковали этих клиентов.
Это пугающий сценарий, изложенный поставщиком информационной безопасности Resecurity, в котором подробно описаны вредоносные кампании, которые, как утверждается, начались в 2021 году, но стали очевидными ранее в этом месяце из-за раскрытия информации на форумах Breached.to.
«Resecurity идентифицировала несколько участников Dark Web, потенциально происходящих из Азии, им удалось получить доступ к записям «клиентов» и извлечь их из одной или нескольких баз данных, связанных с конкретными приложениями и системами, которые используются несколькими организациями центров обработки данных», — говорят специалисты по безопасности.
В одном из случаев, в Китае, служба безопасности утверждает, что «первоначальный доступ был получен через уязвимую службу поддержки или модуль управления билетами, имеющий интеграцию с другими приложениями и системами, и, по нашей оценке, мог позволить им выполнить боковое перемещение в одном из наблюдаемых эпизодов».
Это боковое движение включало доступ к списку камер видеонаблюдения оператора центра обработки данных «со связанными идентификаторами видеопотока, используемыми для мониторинга сред центра обработки данных, а также учетную информацию, связанную с операторами (ИТ-персонал в центре обработки данных) и клиентами».
Злоумышленники получили учетные данные клиентов, а затем приступили к работе в своих панелях управления, «чтобы собрать информацию о представителях корпоративных клиентов, которые управляют операциями в центре обработки данных, список приобретенных услуг и развернутое оборудование».
Злоумышленники также попытались подключиться к услуге удаленного доступа, предлагаемой операторами центра обработки данных — услуги, в рамках которых сотрудники центра обработки данных выполняют физическое и программное обслуживание комплекта арендаторов. Потенциал беспорядка, вытекающего из направления удаленных рук для выполнения фиктивных задач, значителен.
То же самое можно сказать и о доступе к спискам разрешенных посетителей арендаторов — еще одна тактика, по утверждению Resecurity, которую она наблюдала в Китае.
Злоумышленник смог скомпрометировать одну из внутренних учетных записей электронной почты, используемых для регистрации посетителей, которая затем может быть использована для кибершпионажа или других злонамеренных целей, поскольку информация о посетителях может раскрывать важную информацию о конкретных сотрудниках, ответственных за операции центра обработки данных со стороны клиента.
Во втором случае в Сингапуре Resecurity снова считает, что атака началась с действий против портала обслуживания клиентов, службы поддержки и/или системы управления билетами. Эти усилия позволили получить подробную информацию об арендаторах центра обработки данных и потенциально позволили злоумышленникам заказать услуги удаленного доступа и перемещение материалов внутри центра обработки данных. Злоумышленники также могли изменить права доступа арендаторов. Поставщик сообщил об этом инциденте в CSA SingCERT.
Resecurity также обнаружила действия против американской организации, которая, по ее словам, работает в центрах обработки данных, нейтральных к оператору связи и которая была клиентом одного из ранее затронутых центров обработки данных за границей.
Ужасно, но, когда Resecurity опросила клиентов сингапурского центра обработки данных, им сказали, что они не были проинформированы об инциденте. Тем не менее китайские и сингапурские бит-бароны посоветовали клиентам сбросить пароли.
Resecurity предположила, что эти атаки являются развитием атак на цепочку поставок, в результате которых SolarWinds и Kaseya были атакованы, чтобы получить доступ к своим многочисленным клиентам-поставщикам управляемых услуг, которые, в свою очередь, контролируют клиентские системы.
Операторы центров обработки данных, безусловно, представляют собой столь же заманчивую цель. У крупного оператора, скорее всего, будут сотни клиентов, чье совместное оборудование «гудит» в их стенах.
В гигантских центрах обработки данных могут размещаться даже гиперскейлеры. И вероятность того, что преступники завладеют миллионами серверов, управляемых AWS, Azure или другими крупными облаками, безусловно, близка к наихудшему сценарию для миллионов ИТ-магазинов.