(Bloomberg) — In un episodio che sottolinea la vulnerabilità delle reti informatiche globali, gli hacker si sono impossessati delle credenziali di accesso per i data center in Asia utilizzati da alcune delle più grandi aziende del mondo, una potenziale miniera d'oro per lo spionaggio o il sabotaggio, secondo una società di ricerca sulla sicurezza informatica .
I più letti da Bloomberg
Le cache di dati precedentemente non segnalate riguardano e-mail e password per i siti Web di assistenza clienti per due dei maggiori operatori di data center in Asia: GDS Holdings Ltd. con sede a Shanghai e ST Telemedia Global Data Centers con sede a Singapore, secondo Resecurity Inc., che fornisce servizi di sicurezza informatica e indaga sugli hacker. Sono stati colpiti circa 2,000 clienti di GDS e STT GDC. Gli hacker hanno effettuato l'accesso agli account di almeno cinque di loro, inclusa la principale piattaforma cinese di scambio di valuta estera e debito e altri quattro dall'India, secondo Resecurity, che ha affermato di essersi infiltrato nel gruppo di hacker.
Non è chiaro cosa, semmai, gli hacker abbiano fatto con gli altri accessi. Le informazioni includevano credenziali in numero variabile per alcune delle più grandi aziende del mondo, tra cui Alibaba Group Holding Ltd., Amazon.com Inc., Apple Inc., BMW AG, Goldman Sachs Group Inc., Huawei Technologies Co., Microsoft Corp., e Walmart Inc., secondo la società di sicurezza e centinaia di pagine di documenti esaminati da Bloomberg.
Rispondendo alle domande sui risultati di Resecurity, GDS ha affermato in una dichiarazione che un sito Web dell'assistenza clienti è stato violato nel 2021. Non è chiaro come gli hacker abbiano ottenuto i dati STT GDC. Quella società ha affermato di non aver trovato alcuna prova che il suo portale del servizio clienti sia stato compromesso quell'anno. Entrambe le società hanno affermato che le credenziali non autorizzate non rappresentano un rischio per i sistemi o i dati IT dei clienti.
Tuttavia, Resecurity e i dirigenti di quattro delle principali società con sede negli Stati Uniti che sono state colpite hanno affermato che le credenziali rubate rappresentano un pericolo insolito e grave, principalmente perché i siti Web di assistenza clienti controllano chi è autorizzato ad accedere fisicamente alle apparecchiature IT ospitate nei data center. Quei dirigenti, che hanno appreso degli incidenti da Bloomberg News e hanno confermato le informazioni con i loro team di sicurezza, che hanno chiesto di non essere identificati perché non autorizzati a parlare pubblicamente della questione.
Iscriviti alla nostra newsletter settimanale sulla sicurezza informatica, il Cyber Bulletin, qui.
L'entità della perdita di dati segnalata da Resecurity evidenzia il crescente rischio che le aziende devono affrontare a causa della loro dipendenza da terze parti per ospitare dati e apparecchiature IT e aiutare le loro reti a raggiungere i mercati globali. Gli esperti di sicurezza affermano che il problema è particolarmente grave in Cina, che richiede alle aziende di collaborare con i fornitori di servizi di dati locali.
"Questo è un incubo in attesa di accadere", ha dichiarato Michael Henry, ex chief information officer di Digital Realty Trust Inc., uno dei maggiori operatori di data center statunitensi, quando è stato informato degli incidenti da Bloomberg. (Digital Realty Trust non è stata interessata dagli incidenti). Lo scenario peggiore per qualsiasi operatore di data center è che gli aggressori in qualche modo ottengano l'accesso fisico ai server dei clienti e installino codice dannoso o apparecchiature aggiuntive, ha affermato Henry. "Se riescono a raggiungere questo obiettivo, possono potenzialmente interrompere le comunicazioni e il commercio su vasta scala".
GDS e STT GDC hanno affermato di non avere alcuna indicazione che sia accaduto qualcosa del genere e che i loro servizi principali non siano stati influenzati.
Gli hacker hanno avuto accesso alle credenziali di accesso per più di un anno prima di metterlo in vendita sul dark web il mese scorso, per $ 175,000, affermando di essere stati sopraffatti dal volume, secondo Resecurity e uno screenshot del post recensito da Bloomberg .
"Ho usato alcuni obiettivi", hanno detto gli hacker nel post. "Ma incapace di gestire il numero totale di aziende è superiore a 2,000".
Gli indirizzi e-mail e le password avrebbero potuto consentire agli hacker di mascherarsi da utenti autorizzati sui siti Web del servizio clienti, secondo Resecurity. La società di sicurezza ha scoperto le cache di dati nel settembre 2021 e ha affermato di aver trovato anche prove che gli hacker le stavano utilizzando per accedere agli account dei clienti GDS e STT GDC fino a gennaio, quando entrambi gli operatori del data center hanno forzato il ripristino delle password dei clienti, secondo Resecurity.
Anche senza password valide, i dati sarebbero comunque preziosi, consentendo agli hacker di creare e-mail di phishing mirate contro persone con accesso di alto livello alle reti delle loro aziende, secondo Resecurity.
La maggior parte delle società interessate contattate da Bloomberg News, tra cui Alibaba, Amazon, Huawei e Walmart, ha rifiutato di commentare. Apple non ha risposto ai messaggi in cerca di commenti.
In una dichiarazione, Microsoft ha affermato: "Monitoriamo regolarmente le minacce che potrebbero avere un impatto su Microsoft e quando vengono identificate potenziali minacce, intraprendiamo le azioni appropriate per proteggere Microsoft e i nostri clienti". Un portavoce di Goldman Sachs ha dichiarato: "Abbiamo in atto controlli aggiuntivi per proteggerci da questo tipo di violazione e siamo soddisfatti che i nostri dati non fossero a rischio".
La casa automobilistica BMW ha dichiarato di essere a conoscenza del problema. Ma un portavoce dell'azienda ha dichiarato: "Dopo la valutazione, il problema ha un impatto molto limitato sulle attività di BMW e non ha causato danni ai clienti BMW e alle informazioni relative ai prodotti". Il portavoce ha aggiunto: "BMW ha esortato GDS a migliorare il livello di sicurezza delle informazioni".
GDS e STT GDC sono due dei maggiori fornitori asiatici di servizi di “colocazione”. Agiscono come proprietari, affittando spazio nei propri data center a clienti che vi installano e gestiscono le proprie apparecchiature IT, in genere per essere più vicini ai clienti e alle operazioni aziendali in Asia. GDS è tra i primi tre fornitori di colocation in Cina, il secondo più grande mercato per il servizio al mondo dopo gli Stati Uniti, secondo Synergy Research Group Inc. Singapore è al sesto posto.
Anche le società sono intrecciate: un deposito aziendale mostra che nel 2014 Singapore Technologies Telemedia Pte, la società madre della STT GDC, ha acquisito una partecipazione del 40% in GDS.
L'amministratore delegato di Resecurity Gene Yoo ha affermato che la sua azienda ha scoperto gli incidenti nel 2021 dopo che uno dei suoi agenti è andato sotto copertura per infiltrarsi in un gruppo di hacker in Cina che aveva attaccato obiettivi del governo a Taiwan.
Subito dopo, secondo Yoo e i documenti, ha allertato GDS e STT GDC e un piccolo numero di client Resecurity che sono stati colpiti.
Resecurity ha notificato nuovamente GDS e STT GDC a gennaio dopo aver scoperto che gli hacker accedono agli account, e la società di sicurezza ha anche allertato le autorità in Cina e Singapore in quel momento, secondo Yoo e i documenti.
Entrambi gli operatori del data center hanno affermato di aver risposto prontamente quando sono stati informati dei problemi di sicurezza e hanno avviato indagini interne.
Cheryl Lee, portavoce della Cyber Security Agency di Singapore, ha affermato che l'agenzia "è a conoscenza dell'incidente e sta assistendo ST Telemedia in merito". Il National Computer Network Emergency Response Technical Team/Coordination Center of China, un'organizzazione non governativa che gestisce la risposta alle emergenze informatiche, non ha risposto ai messaggi che chiedevano commenti.
GDS ha riconosciuto che un sito Web di assistenza clienti è stato violato e ha affermato di aver indagato e risolto una vulnerabilità nel sito nel 2021.
"L'applicazione che è stata presa di mira dagli hacker è limitata per portata e informazioni a funzioni di servizio non critiche, come effettuare richieste di ticket, programmare la consegna fisica delle apparecchiature e rivedere i rapporti di manutenzione", secondo una dichiarazione della società. “Le richieste effettuate tramite l'applicazione in genere richiedono un follow-up e una conferma offline. Data la natura di base dell'applicazione, la violazione non ha comportato alcuna minaccia per le operazioni IT dei nostri clienti".
STT GDC ha affermato di aver coinvolto esperti di sicurezza informatica esterni quando è venuta a conoscenza dell'incidente nel 2021. "Il sistema IT in questione è uno strumento di ticketing del servizio clienti" e "non ha alcuna connessione con altri sistemi aziendali né alcuna infrastruttura di dati critici", ha affermato la società .
La società ha affermato che il suo portale del servizio clienti non è stato violato nel 2021 e che le credenziali ottenute da Resecurity sono “un elenco parziale e obsoleto di credenziali utente per le nostre applicazioni di ticketing dei clienti. Qualsiasi dato di questo tipo ora non è valido e non rappresenta un rischio per la sicurezza in futuro.
"Non è stato osservato alcun accesso non autorizzato o perdita di dati", secondo la dichiarazione di STT GDC.
Indipendentemente da come gli hacker possano aver utilizzato le informazioni, gli esperti di sicurezza informatica hanno affermato che i furti dimostrano che gli aggressori stanno esplorando nuovi modi per infiltrarsi in obiettivi difficili.
La sicurezza fisica delle apparecchiature informatiche nei data center di terze parti e i sistemi per il controllo dell'accesso agli stessi rappresentano vulnerabilità spesso trascurate dai dipartimenti di sicurezza aziendale, ha affermato Malcolm Harkins, ex capo dell'offerta per la sicurezza e la privacy di Intel Corp. Qualsiasi manomissione del data center attrezzature "potrebbero avere conseguenze devastanti", ha detto Harkins.
Gli hacker hanno ottenuto indirizzi e-mail e password per più di 3,000 persone presso GDS, inclusi i propri dipendenti e quelli dei suoi clienti, e più di 1,000 da STT GDC, secondo i documenti esaminati da Bloomberg News.
Gli hacker hanno anche rubato le credenziali per la rete GDS di oltre 30,000 telecamere di sorveglianza, la maggior parte delle quali si basava su semplici password come "admin" o "admin12345", mostrano i documenti. GDS non ha posto una domanda sul presunto furto di credenziali alla rete di telecamere, o sulle password.
Il numero di credenziali di accesso per i siti Web di assistenza clienti variava a seconda dei clienti. Ad esempio, c'erano 201 conti presso Alibaba, 99 presso Amazon, 32 presso Microsoft, 16 presso Baidu Inc., 15 presso Bank of America Corp., sette presso Bank of China Ltd., quattro presso Apple e tre presso Goldman, secondo i documenti. Yoo di Resecurity ha affermato che gli hacker hanno bisogno solo di un indirizzo e-mail e una password validi per accedere all'account di un'azienda sul portale del servizio clienti.
Tra le altre società di cui sono stati ottenuti i dati di accesso dei lavoratori, secondo Resecurity e i documenti, c'erano: Bharti Airtel Ltd. in India, Bloomberg LP (il proprietario di Bloomberg News), ByteDance Ltd., Ford Motor Co., Globe Telecom Inc. nelle Filippine, Mastercard Inc., Morgan Stanley, Paypal Holdings Inc., Porsche AG, SoftBank Corp., Telstra Group Ltd. in Australia, Tencent Holdings Ltd., Verizon Communications Inc. e Wells Fargo & Co.
In una dichiarazione, Baidu ha dichiarato: “Non crediamo che alcun dato sia stato compromesso. Baidu presta grande attenzione per garantire la sicurezza dei dati dei nostri clienti. Terremo d'occhio questioni come questa e rimarremo in allerta per qualsiasi minaccia emergente alla sicurezza dei dati in qualsiasi parte delle nostre operazioni".
Un rappresentante di Porsche ha dichiarato: "In questo caso specifico non abbiamo alcuna indicazione che ci fosse alcun rischio". Un rappresentante di SoftBank ha affermato che una filiale cinese ha smesso di utilizzare GDS lo scorso anno. "Non è stata confermata alcuna perdita di dati sulle informazioni sui clienti dalla società cinese locale, né vi è stato alcun impatto sulla sua attività e sui suoi servizi", ha affermato il rappresentante.
Un portavoce di Telstra ha dichiarato: "Non siamo a conoscenza di alcun impatto sull'attività a seguito di questa violazione", mentre un rappresentante di Mastercard ha affermato: "Anche se continuiamo a monitorare questa situazione, non siamo a conoscenza di alcun rischio per la nostra attività o impatto la nostra rete o i nostri sistemi di transazione.”
Un rappresentante di Tencent ha dichiarato: “Non siamo a conoscenza di alcun impatto sull'azienda a seguito di questa violazione. Gestiamo direttamente i nostri server all'interno dei data center, con gli operatori delle strutture dei data center che non hanno accesso ai dati archiviati sui server Tencent. Dopo le indagini, non abbiamo scoperto alcun accesso non autorizzato ai nostri sistemi e server IT, che rimangono sicuri e protetti".
Un portavoce di Wells Fargo ha affermato di aver utilizzato GDS per l'infrastruttura IT di backup fino a dicembre 2022. "GDS non aveva accesso ai dati, ai sistemi o alla rete Wells Fargo di Wells Fargo", ha affermato la società. Tutte le altre società hanno rifiutato di commentare o non hanno risposto.
Yoo di Resecurity ha affermato che a gennaio l'agente sotto copertura della sua azienda ha sollecitato gli hacker a dimostrare se avevano ancora accesso agli account. Gli hacker hanno fornito schermate che mostrano loro l'accesso agli account di cinque società e la navigazione su diverse pagine nei portali online GDS e STT GDC, ha affermato. La risicurezza ha permesso a Bloomberg News di rivedere quegli screenshot.
Presso GDS, gli hacker hanno avuto accesso a un account per il China Foreign Exchange Trade System, un braccio della banca centrale cinese che svolge un ruolo chiave nell'economia di quel paese, gestendo la principale piattaforma di scambio di valuta estera e debito del governo, secondo gli screenshot e Resecurity. L'organizzazione non ha risposto ai messaggi.
A STT GDC, gli hacker hanno avuto accesso agli account del National Internet Exchange of India, un'organizzazione che collega i fornitori di servizi Internet in tutto il paese, e altri tre con sede in India: MyLink Services Pvt., Skymax Broadband Services Pvt. e Logix InfoSecurity Pvt., mostrano gli screenshot.
Raggiunto da Bloomberg, il National Internet Exchange of India ha dichiarato di non essere a conoscenza dell'incidente e ha rifiutato ulteriori commenti. Nessuna delle altre organizzazioni in India ha risposto alle richieste di commento.
Alla domanda sull'affermazione secondo cui gli hacker stavano ancora accedendo agli account a gennaio utilizzando le credenziali rubate, un rappresentante di GDS ha dichiarato: “Recentemente, abbiamo rilevato diversi nuovi attacchi da parte di hacker utilizzando le vecchie informazioni di accesso all'account. Abbiamo utilizzato vari strumenti tecnici per bloccare questi attacchi. Finora, non abbiamo trovato alcuna nuova irruzione riuscita da parte di hacker, a causa della vulnerabilità del nostro sistema".
Il rappresentante GDS ha aggiunto: “Come sappiamo, un singolo cliente non ha reimpostato una delle password del proprio account su questa applicazione che apparteneva a un suo ex dipendente. Questo è il motivo per cui di recente abbiamo forzato la reimpostazione della password per tutti gli utenti. Riteniamo che si tratti di un evento isolato. Non è il risultato di hacker che hanno violato il nostro sistema di sicurezza”.
STT GDC ha dichiarato di aver ricevuto la notifica a gennaio di ulteriori minacce ai portali del servizio clienti nelle "nostre regioni dell'India e della Thailandia". "Le nostre indagini fino ad oggi indicano che non vi è stata alcuna perdita di dati o impatto su nessuno di questi portali del servizio clienti", ha affermato la società.
Alla fine di gennaio, dopo che GDS e STT GDC hanno cambiato le password dei clienti, Resecurity ha individuato gli hacker che pubblicavano i database in vendita su un forum del dark web, in inglese e cinese, secondo Yoo.
"I DB contengono informazioni sui clienti, possono essere utilizzati per phishing, accesso ad armadietti, monitoraggio di ordini e attrezzature, ordini manuali a distanza", afferma il post. "Chi può aiutare con il phishing mirato?"
I più letti da Bloomberg Businessweek
© 2023 Bloomberg LP
Fonte: https://finance.yahoo.com/news/hackers-scored-data-center-logins-020028440.html