Ataques cibernéticos direcionados a vários data centers em várias regiões do mundo foram observados no último ano e meio, resultando na exfiltração de informações pertencentes a algumas das maiores empresas do mundo e na publicação de credenciais de acesso na dark web, de acordo com a Resecurity. Segundo a empresa de segurança cibernética, os ataques direcionados a provedores de data center criam um precedente significativo à cibersegurança da cadeia de suprimentos.
A Resecurity primeiro alertou os data centers sobre uma campanha maliciosa para atingi-los em setembro de 2021, com atualizações adicionais sobre dois outros episódios em 2022 e janeiro deste ano. O objetivo, segundo ela, era roubar dados confidenciais de empresas e organizações governamentais clientes dos data centers.
Mais recentemente, credenciais adquiridas de provedores de data centers por meio de campanhas maliciosas foram publicadas no fórum clandestino Breached.to e detectadas por pesquisadores de segurança. Alguns fragmentos desse cache de dados específico também foram compartilhados por vários operadores de ameaças no Telegram.
A Resecurity identificou vários grupos na dark web, provavelmente originários da Ásia, que durante o curso das campanhas conseguiram acessar registros de clientes e exfiltrá-los de um ou vários bancos de dados relacionados a aplicativos e sistemas específicos usados por várias empresas de data center.
Em ao menos um dos casos, o acesso inicial foi obtido por meio de um helpdesk vulnerável ou módulo de gerenciamento de tíquetes integrado a outros aplicativos e sistemas, o que permitiu que o invasor realizasse um movimento lateral. Nesse ataque, ele conseguiu extrair uma lista de câmeras CCTV com identificadores de fluxo de vídeo associados usados para monitorar ambientes de data center, bem como informações de credenciais relacionadas à equipe de TI e clientes do data center, disse a Resecurity.
Depois que as credenciais foram coletadas, o invasor executou uma sondagem para coletar informações sobre o responsável pelo gerenciamento das operações dos clientes corporativos no data center, as listas de serviços adquiridos e equipamentos implantados.
Em setembro de 2021, quando a campanha foi observada pela primeira vez pelos pesquisadores da Resecurity, o operador da ameaça conseguiu coletar vários registros de mais de 2 mil clientes de data centers. Isso incluía credenciais, e-mail, telefone celular e referências de carteira de identidade, provavelmente usadas para determinados mecanismos de verificação do cliente. Ele também conseguiu comprometer uma das contas de e-mail internas usadas para registrar visitantes, que poderiam ser usadas para espionagem cibernética ou outros fins maliciosos.
Na campanha do ano passado, o invasor conseguiu exfiltrar um banco de dados de clientes que supostamente continha 1.210 registros de uma empresa de data center com sede em Cingapura. O terceiro episódio da campanha maliciosa, observado em janeiro deste ano, envolveu uma organização nos EUA que era cliente de um dos data centers afetados anteriormente.
Embora a Resecurity não tenha divulgado o nome dos provedores de data center identificados no ataque, a Bloomberg, que disse ter revisado documentos relacionados aos ataques cibernéticos, relata que a GDS Holdings, com sede em Xangai, e a ST Telemedia Global Data Centers, com sede em Cingapura, estão entre as vítimas.
A GDS reconheceu que um site de suporte ao cliente foi violado em 2021, mas disse que não havia risco para os sistemas ou dados de TI dos clientes, informou a Bloomberg. A ST Telemedia também afirmou que não há risco para os clientes.
Veja isso
Empresa gaúcha bloqueia ataque a Log4J em data center
Gerenciamento de 20 mil data centers exposto na web
Entre as organizações identificadas nos conjuntos de dados vazados na dark web, no entanto, estão instituições financeiras com presença global, bem como fundos de investimento, empresas de pesquisa biomédica, fornecedores de tecnologia, sites de comércio eletrônico, serviços em nuvem, provedores de internet (ISPs) e empresas de distribuição de conteúdo. De acordo com a Resecurity, as empresas têm sedes nos EUA, Reino Unido, Canadá, Austrália, Suíça, Nova Zelândia e China.
A Bloomberg, por sua vez, relatou que os dados roubados incluíam credenciais de empresas como Alibaba, Amazon, Apple, BMW, Goldman Sachs, Huawei Technologies, Microsoft e Walmart.
A Resecurity não identificou nenhum grupo APT conhecido como responsável pelos ataques. Os pesquisadores observam que é possível que as vítimas possam ser comprometidas por vários operadores de ameaças diferentes.