Resecurity就针对数据中心服务提供商的网络攻击发出警告
根据总部位于加利福尼亚州的网络安全公司最近发布的详细报告,在 2021 年 9 月期间,Resecurity 向多个数据中心组织通报了针对他们及其客户的恶意网络活动。这些组织是企业供应链的重要组成部分,并成为民族国家、犯罪和网络间谍组织的诱人目标。
有关此活动的详细信息已分别与受影响方和中国和新加坡的国家计算机应急响应团队共享,以供进一步分析和降低风险。由于主要财富 500 强公司在观察到的数据集中的重要存在,2022 年和 2023 年 1 月收到的进一步更新也已与美国执法部门共享。其中一些组织是 Resecurity 的当前客户,并在活动开展的最早阶段就收到了通知。他们中的许多人将其解读为对其供应链的重大风险,并启动了进一步的事件响应。

在向 CNCERT/CC 报告的其中一个案例中,初始访问权限很可能是通过与其他应用程序和系统集成的易受攻击的服务台模块获得的,这可能允许在观察到的事件之一中执行横向移动。攻击者能够提取闭路电视摄像机列表以及可能用于监控数据中心环境的相关视频流标识符,以及与操作员(数据中心的 IT 人员)和客户相关的凭证信息。
一旦收集了客户凭证,攻击者就会对客户面板进行主动探测,旨在收集有关管理数据中心运营的企业客户代表的信息、购买的服务列表和部署的设备。在确定的活动的第一集中,攻击者还能够收集手机和身份证号码,可能用于某些客户验证。2023年1月24日左右,受影响机构与CNCERT沟通后,强制要求客户修改密码。在同一活动的第 2 集中,攻击者能够从另一个在亚太地区具有重要足迹的数据中心组织中窃取类似记录。
2023 年 1 月,通过人类情报 (HUMINT) 来源,Resecurity 获得了工件,这些工件可能证实了对 10 个不同组织的客户门户的成功访问尝试,其中一些组织位于印度。值得注意的是,观察到的客户门户包括几个典型的数据中心组织功能,例如远程服务 (RHS)、访问权限和材料移动。有关此事件的信息已与 CNCERT/CC、新加坡计算机应急响应小组 ( SingCERT)共享) 和执法。Resecurity 已联系多方(受保护的客户和合作伙伴组织)以收集有关这些凭据来源的反馈——一些确认使用凭据的联系人已被他们及其 IT 员工使用,并且该数据中心是用于该地区的灾难恢复或主动操作。
2023 年 1 月 28 日——该攻击者在初始访问代理 (IAB) 和勒索软件组织经常使用的暗网地下社区之一上发布了被盗数据以供出售。很可能,此步骤背后的原因是数据中心组织意外地强制更改密码,可追溯到第一集。该活动的第三集与一家美国组织有关——在运营商中立的数据中心领域和软件定义的数据中心产品中运营。值得注意的是,该组织是之前受影响的海外数据中心之一的客户。与前 2 起事件相比,关于这一事件的信息仍然有限,但 Resecurity 能够收集到 IT 使用的多个凭证。2023 年 2 月 20 日——演员在“Breached”地下论坛上发布了重要的被盗数据片段。
在泄露的数据集中确定的大多数组织与全球业务的金融机构 (FI)、投资基金、生物医学研究公司、技术供应商、电子商务、在线市场、云服务、ISP 和总部位于美国的 CDN 提供商有关,英国、加拿大、澳大利亚、新西兰、新加坡和中国。由于位于世界不同地区与其客户类似的数据中心之间存在重要互连,因此已确定的活动可能会突出国际合作和主动威胁情报共享的重要性。
以数据中心组织为目标在供应链网络安全的背景下创造了一个重要的先例。Resecurity 预计攻击者会增加与数据中心及其客户相关的恶意网络活动。网络防御者应评估适当的措施,以减轻来自 OT 和 IT 供应链网络安全的此类向量。与供应商就可能涉及客户账户和相关数据的可能网络安全事件进行透明沟通至关重要。
本文来源于Lonely Blog -全球网络安全资讯平台, 转载请注明出处: https://blog.wuhao13.xin/4276.html