Los ciberataques golpean los centros de datos para robar información global

Según la firma de ciberseguridad Resecurity, durante el último año y medio, los ataques cibernéticos se han dirigido a varios centros de datos en varias regiones del mundo, lo que ha resultado en la exfiltración de información de algunas de las empresas más grandes del mundo y la publicación de credenciales. acceso en la web oscura. “La actividad cibernética maliciosa dirigida a ciertos operadores de centros de datos sienta un precedente importante en el contexto de la ciberseguridad de la cadena de suministro”, dijo Resecurity en una publicación de blog. La firma de ciberseguridad cree que los atacantes deberían aumentar su actividad maliciosa contra los centros de datos y sus clientes.

Resecurity no reveló los nombres de las víctimas, pero según un informe separado de Bloomberg, los ataques cibernéticos robaron credenciales de los centros de datos de las principales empresas, incluidas Alibaba, Amazon, Apple, BMW, Goldman Sachs, Huawei Technologies, Microsoft y Walmart. Bloomberg dijo que revisó los documentos de Resecurity relacionados con esta actividad maliciosa. Resecurity dice que advirtió a los centros de datos sobre esta campaña maliciosa, primero en septiembre de 2021, luego dos veces en 2022 y enero de 2023. Según Resecurity, el propósito de estos ataques era robar datos confidenciales de empresas y organizaciones gubernamentales clientes de operadores de centros de datos.

Grabaciones de clientes descargadas en la dark web

Más recientemente, las credenciales robadas a los operadores de centros de datos en varios puntos de la campaña maliciosa se publicaron en el foro clandestino Breached.to y los investigadores las detectaron el lunes. Varios actores de amenazas en Telegram también compartieron algunos fragmentos de este caché de datos en particular. Resecurity ha identificado a varios actores de la web oscura, potencialmente de Asia, que durante la campaña lograron acceder a los registros de los clientes y extraerlos de una o más bases de datos relacionadas con aplicaciones y sistemas específicos utilizados por varios operadores.

En al menos uno de los casos, el acceso inicial probablemente se obtuvo a través de un módulo vulnerable de emisión de boletos o de mesa de ayuda integrado en otras aplicaciones y sistemas, lo que permitió al actor de amenazas realizar un movimiento lateral. “El actor de amenazas pudo extraer una lista de cámaras de circuito cerrado de televisión con identificaciones de transmisión de video asociadas, utilizadas para monitorear entornos de centros de datos, así como información de identificación relacionada con el personal de TI y los clientes del centro de datos”, dijo Resecurity. Después de recopiladas las credenciales, el actor realizó encuestas activas para recopilar información sobre los representantes de las empresas clientes que administran las operaciones en el centro de datos, listas de servicios comprados y equipos implementados.

Datos de verificación del cliente Objeto de actividad maliciosa

“En septiembre de 2021, cuando los investigadores de Resecurity observaron la campaña por primera vez, el actor de amenazas involucrado en este episodio pudo recopilar varios registros de más de 2000 clientes del centro de datos”, dijo Resecurity. En particular referencias de identificadores, correos electrónicos, teléfonos móviles y documentos de identidad, susceptibles de ser utilizados para determinados mecanismos de verificación de clientes. (Alrededor del 24 de enero de 2023, la empresa afectada solicitó a los clientes que cambiaran sus contraseñas). También según Resecurity, el actor también pudo comprometer una de las cuentas de correo electrónico internas utilizadas para registrar visitantes, que luego podría usarse para espionaje cibernético u otros fines maliciosos. En el segundo episodio de la campaña visto en 2022, el actor pudo exfiltrar una base de datos de clientes que potencialmente contenía 1210 registros de un host con sede en Singapur.

El tercer episodio de la campaña maliciosa, visto en enero de este año, involucró a un cliente corporativo estadounidense de uno de los centros de datos previamente afectados. "La información sobre este episodio sigue siendo limitada en comparación con los 2 episodios anteriores, pero Resecurity pudo recopilar múltiples credenciales utilizadas por el personal de TI para otorgar acceso al portal del cliente en otro centro de datos", dijo Resecurity. Por otra parte, el 28 de enero, los datos robados durante la campaña se pusieron a la venta en una comunidad clandestina de la web oscura llamada Ramp, a menudo utilizada por corredores de acceso anticipado y grupos de ransomware. “Lo más probable es que el actor se haya dado cuenta de que su actividad podría ser detectada y que el valor de los datos podría disminuir con el tiempo, de ahí esta monetización inmediata bastante predecible”, dijo Resecurity, y agregó que otras razones pueden haber motivado el vertido de datos. "Estas tácticas a menudo son utilizadas por los actores estatales para enmascarar su actividad, generalmente para ocultar el motivo del ataque", agregó la firma de seguridad cibernética.

Centros de datos asiáticos afectados

Resecurity no reveló los nombres de los operadores de centros de datos identificados en el ataque, pero Bloomberg dijo que GDS Holdings, con sede en Shanghái, y ST Telemedia Global Data Centers, con sede en Singapur, estaban entre las empresas víctimas. GDS reconoció que se violó un sitio web de atención al cliente en 2021, pero dijo que no había riesgo para los sistemas de TI o los datos del cliente, informó Bloomberg. ST Telemedia también dijo que no había riesgo para los clientes. Las empresas identificadas en los conjuntos de datos filtrados son instituciones financieras con operaciones en todo el mundo, así como fondos de inversión, empresas de investigación biomédica, proveedores de tecnología, sitios de comercio electrónico, servicios en la nube, ISP y empresas especializadas en redes de distribución de contenido, según Resecurity. “Las empresas tienen su sede en EE. UU., Reino Unido, Canadá, Australia, Suiza, Nueva Zelanda y China”, dijeron los investigadores.

Resecurity no ha identificado ningún grupo APT conocido al que pueda atribuir la responsabilidad de estos ataques. Los investigadores no excluyen la participación de múltiples y diferentes actores. “Elegir RAMP como mercado para vender datos también proporciona algunas pistas”, dijo Resecurity. RAMP agregó soporte para el idioma chino e invitó a los piratas informáticos de habla china a unirse a la comunidad. "La mayoría de las secciones del foro están traducidas al chino, y ahí es donde pudimos identificar a varios jugadores de China y los países del sudeste asiático", dijo Resecurity. La información sobre esta actividad maliciosa se ha compartido con las partes afectadas y los equipos nacionales del Centro de Respuesta y Alerta de Ataques Informáticos (CERT) en China y Singapur. Resecurity también compartió información con las autoridades estadounidenses, ya que los conjuntos de datos contenían una cantidad significativa de información de las principales empresas de Fortune 500.