يبدأ المتسللون في بيع عمليات تسجيل الدخول إلى مركز البيانات لبعض أكبر الشركات في العالم

(بلومبرج) - في حلقة تؤكد ضعف شبكات الكمبيوتر العالمية ، حصل المتسللون على بيانات اعتماد تسجيل الدخول لمراكز البيانات في آسيا التي تستخدمها بعض أكبر الشركات في العالم ، وهي ثروة محتملة للتجسس أو التخريب ، وفقًا لشركة أبحاث الأمن السيبراني .

الأكثر قراءة من بلومبرج

تتضمن مخابئ البيانات التي لم يتم الإبلاغ عنها سابقًا رسائل بريد إلكتروني وكلمات مرور لمواقع دعم العملاء لاثنين من أكبر مشغلي مراكز البيانات في آسيا: GDS Holdings Ltd. ومقرها شنغهاي ومراكز البيانات العالمية ST Telemedia ومقرها سنغافورة ، وفقًا لشركة Resecurity Inc. خدمات الأمن السيبراني والتحقيق في المتسللين. تأثر حوالي 2,000 عميل من GDS و STT GDC. ووفقًا لـ Resecurity ، فقد قام قراصنة بتسجيل الدخول إلى حسابات خمسة منهم على الأقل ، بما في ذلك منصة تداول العملات الأجنبية والديون الرئيسية في الصين وأربعة آخرين من الهند ، والتي قالت إنها اخترقت مجموعة القرصنة.

ليس من الواضح ما الذي فعله المتسللون بعمليات تسجيل الدخول الأخرى - إن وُجد أي شيء. تضمنت المعلومات بيانات اعتماد بأرقام متفاوتة لبعض أكبر الشركات في العالم ، بما في ذلك Alibaba Group Holding Ltd. و Amazon.com Inc. و Apple Inc. و BMW AG و Goldman Sachs Group Inc. و Huawei Technologies Co. و Microsoft Corp. و Walmart Inc. ، وفقًا لشركة الأمن ومئات الصفحات من الوثائق التي راجعتها بلومبرج.

ردًا على أسئلة حول نتائج Resecurity ، قالت GDS في بيان إن موقعًا لدعم العملاء قد تم اختراقه في عام 2021. ليس من الواضح كيف حصل المتسللون على بيانات STT GDC. قالت تلك الشركة إنها لم تجد أي دليل على أن بوابة خدمة العملاء الخاصة بها قد تعرضت للاختراق في ذلك العام. قالت الشركتان إن أوراق الاعتماد المارقة لا تشكل خطرًا على أنظمة تكنولوجيا المعلومات أو البيانات الخاصة بالعملاء.

القصة مستمرة

ومع ذلك ، قال مسؤولو Resecurity والمسؤولون التنفيذيون في أربع شركات كبرى مقرها الولايات المتحدة تأثرت أن أوراق الاعتماد المسروقة تمثل خطرًا غير عادي وخطير ، في المقام الأول لأن مواقع دعم العملاء تتحكم في من يُسمح له بالوصول المادي إلى معدات تكنولوجيا المعلومات الموجودة في مراكز البيانات. هؤلاء المسؤولون التنفيذيون ، الذين علموا بالوقائع من بلومبرج نيوز وتأكدوا من المعلومات مع فرقهم الأمنية ، الذين طلبوا عدم الكشف عن هويتهم لأنهم غير مصرح لهم بالتحدث علنًا عن الأمر.

اشترك في النشرة الإخبارية الأسبوعية للأمن السيبراني ، نشرة Cyber ​​Bulletin ، هنا.

يسلط حجم فقدان البيانات الذي أبلغت عنه Resecurity الضوء على المخاطر المتزايدة التي تواجهها الشركات بسبب اعتمادها على أطراف ثالثة لإيواء البيانات ومعدات تكنولوجيا المعلومات ومساعدة شبكاتها في الوصول إلى الأسواق العالمية. يقول خبراء الأمن إن المشكلة حادة بشكل خاص في الصين ، الأمر الذي يتطلب من الشركات الدخول في شراكة مع موفري خدمات البيانات المحليين.

قال مايكل هنري ، كبير مسؤولي المعلومات السابق لشركة Digital Realty Trust Inc. ، أحد أكبر مشغلي مراكز البيانات في الولايات المتحدة ، عندما أخبرته بلومبرج عن الحوادث: "هذا كابوس ينتظر الحدوث". (لم تتأثر شركة Digital Realty Trust بالحوادث). قال هنري إن أسوأ سيناريو لأي مشغل لمركز البيانات هو أن المهاجمين بطريقة ما يحصلون على وصول مادي إلى خوادم العملاء ويقومون بتثبيت تعليمات برمجية ضارة أو معدات إضافية. "إذا تمكنوا من تحقيق ذلك ، فمن المحتمل أن يعطلوا الاتصالات والتجارة على نطاق واسع."

قالت GDS و STT GDC أنهما ليس لديهما ما يشير إلى حدوث أي شيء من هذا القبيل ، وأن خدماتهما الأساسية لم تتأثر.

تمكن المتسللون من الوصول إلى بيانات اعتماد تسجيل الدخول لأكثر من عام قبل نشرها للبيع على الويب المظلم الشهر الماضي ، مقابل 175,000 ألف دولار ، قائلين إنهم غارقون في حجمها ، وفقًا لـ Resecurity ولقطة شاشة من المنشور الذي راجعه موقع Bloomberg .

قال المتسللون في المنشور: "لقد استخدمت بعض الأهداف". "لكن غير قادر على التعامل مع إجمالي عدد الشركات التي تزيد عن 2,000 شركة."

كان من الممكن أن تسمح عناوين البريد الإلكتروني وكلمات المرور للمتسللين بالتنكر كمستخدمين معتمدين على مواقع خدمة العملاء ، وفقًا لـ Resecurity. اكتشفت شركة الأمان مخابئ البيانات في سبتمبر 2021 وقالت إنها وجدت أيضًا أدلة على أن المتسللين كانوا يستخدمونها للوصول إلى حسابات عملاء GDS و STT GDC مؤخرًا في يناير ، عندما فرض مشغلو مركز البيانات إعادة تعيين كلمة مرور العميل ، وفقًا لـ Resecurity.

حتى بدون كلمات مرور صالحة ، ستظل البيانات ذات قيمة - مما يسمح للقراصنة بصياغة رسائل بريد إلكتروني تصيدية موجهة ضد الأشخاص الذين لديهم وصول عالي المستوى إلى شبكات شركاتهم ، وفقًا لـ Resecurity.

رفضت معظم الشركات المتضررة التي اتصلت بها بلومبرج نيوز ، بما في ذلك Alibaba و Amazon و Huawei و Walmart ، التعليق. لم ترد Apple على الرسائل التي تطلب التعليق.

وقالت Microsoft في بيان ، "إننا نراقب بانتظام التهديدات التي يمكن أن تؤثر على Microsoft وعندما يتم تحديد التهديدات المحتملة ، نتخذ الإجراء المناسب لحماية Microsoft وعملائنا." قال متحدث باسم Goldman Sachs: "لدينا ضوابط إضافية للحماية من هذا النوع من الانتهاك ونحن مقتنعون بأن بياناتنا لم تكن في خطر."

قالت شركة صناعة السيارات BMW إنها كانت على علم بالمشكلة. لكن متحدثًا باسم الشركة قال: "بعد التقييم ، كان للمشكلة تأثير محدود جدًا على أعمال BMW ولم تسبب أي ضرر لعملاء BMW والمعلومات المتعلقة بالمنتج." وأضاف المتحدث ، "حثت BMW على GDS لتحسين مستوى أمن المعلومات."

GDS و STT GDC هما من أكبر مزودي خدمات "الموقع المشترك" في آسيا. إنهم يعملون كملاك ، ويؤجرون مساحة في مراكز البيانات الخاصة بهم للعملاء الذين يقومون بتثبيت وإدارة معدات تكنولوجيا المعلومات الخاصة بهم هناك ، وعادة ما يكونون أقرب إلى العملاء والعمليات التجارية في آسيا. تعد GDS من بين أكبر ثلاث مزودي خدمة مواقع مشتركة في الصين ، وثاني أكبر سوق للخدمة في العالم بعد الولايات المتحدة ، وفقًا لشركة Synergy Research Group Inc. ، تحتل سنغافورة المرتبة السادسة.

تتشابك الشركات أيضًا: يُظهر تسجيل الشركات أنه في عام 2014 ، استحوذت شركة Singapore Technologies Telemedia Pte ، الشركة الأم لشركة STT GDC ، على حصة 40 ٪ في GDS.

قال الرئيس التنفيذي لإعادة الأمن ، جين يو ، إن شركته كشفت الحوادث في عام 2021 بعد أن ذهب أحد عناصرها متخفيًا للتسلل إلى مجموعة قرصنة في الصين هاجمت أهدافًا حكومية في تايوان.

بعد فترة وجيزة ، نبهت GDS و STT GDC وعدد صغير من عملاء Resecurity الذين تأثروا ، وفقًا لـ Yoo والمستندات.

أبلغت شركة Resecurity GDS و STT GDC مرة أخرى في يناير بعد اكتشاف المتسللين للوصول إلى الحسابات ، كما نبهت شركة الأمن السلطات في الصين وسنغافورة في ذلك الوقت ، وفقًا لـ Yoo والوثائق.

قال كل من مشغلي مركز البيانات إنهما استجابا على الفور عند إخطارهما بالمسائل الأمنية وبدءا التحقيقات الداخلية.

وقالت شيريل لي ، المتحدثة باسم وكالة الأمن السيبراني في سنغافورة ، إن الوكالة "على علم بالحادث وتساعد ST Telemedia في هذا الشأن." لم يستجب الفريق الفني للاستجابة لحالات الطوارئ لشبكة الكمبيوتر الوطنية / مركز التنسيق في الصين ، وهي منظمة غير حكومية تتعامل مع الاستجابة لحالات الطوارئ السيبرانية ، على الرسائل التي تطلب التعليق.

أقرت GDS باختراق موقع ويب لدعم العملاء وقالت إنها حققت في ثغرة أمنية في الموقع وأصلحتها في عام 2021.

وفقًا لبيان الشركة "التطبيق الذي استهدفه المتسللون محدود النطاق والمعلومات المتعلقة بوظائف الخدمة غير الحرجة ، مثل تقديم طلبات إصدار التذاكر وجدولة التسليم المادي للمعدات ومراجعة تقارير الصيانة". عادةً ما تتطلب الطلبات المقدمة من خلال التطبيق متابعة وتأكيد في وضع عدم الاتصال. نظرًا للطبيعة الأساسية للتطبيق ، لم ينتج عن الخرق أي تهديد لعمليات تكنولوجيا المعلومات لعملائنا ".

قالت شركة STT GDC إنها جلبت خبراء خارجيين في مجال الأمن السيبراني عندما علمت بالحادث في عام 2021. وقالت الشركة: "إن نظام تكنولوجيا المعلومات المعني هو أداة إصدار تذاكر لخدمة العملاء" و "ليس له صلة بأنظمة الشركات الأخرى أو أي بنية تحتية للبيانات بالغة الأهمية". .

قالت الشركة إن بوابة خدمة العملاء الخاصة بها لم يتم اختراقها في عام 2021 وأن ​​بيانات الاعتماد التي حصلت عليها Resecurity هي "قائمة جزئية وقديمة من بيانات اعتماد المستخدم لتطبيقات إصدار التذاكر للعملاء. أي من هذه البيانات غير صالحة الآن ولا تشكل خطرًا أمنيًا في المستقبل ".

"لم يلاحظ أي وصول غير مصرح به أو فقدان البيانات" ، وفقًا لبيان STT GDC.

بغض النظر عن كيفية استخدام المتسللين للمعلومات ، قال خبراء الأمن السيبراني إن السرقات تظهر أن المهاجمين يستكشفون طرقًا جديدة لاختراق الأهداف الصعبة.

قال مالكولم هاركينز ، رئيس عرض الأمان والخصوصية السابق لشركة Intel Corp. قال هاركينز إن المعدات "يمكن أن يكون لها عواقب وخيمة".

حصل المتسللون على عناوين بريد إلكتروني وكلمات مرور لأكثر من 3,000 شخص في GDS - بما في ذلك موظفيها وموظفي عملائها - وأكثر من 1,000 من STT GDC ، وفقًا للوثائق التي استعرضتها Bloomberg News.

تظهر الوثائق أن المتسللين سرقوا أيضًا بيانات اعتماد شبكة GDS التي تضم أكثر من 30,000 ألف كاميرا مراقبة ، اعتمد معظمها على كلمات مرور بسيطة مثل "admin" أو "admin12345". لم تتناول GDS سؤالاً حول السرقة المزعومة لبيانات الاعتماد لشبكة الكاميرا ، أو حول كلمات المرور.

اختلف عدد بيانات اعتماد تسجيل الدخول لمواقع دعم العملاء باختلاف العملاء. على سبيل المثال ، كان هناك 201 حسابًا في Alibaba و 99 في Amazon و 32 في Microsoft و 16 في Baidu Inc. و 15 في Bank of America Corp. وسبعة في Bank of China Ltd. وأربعة في Apple وثلاثة في Goldman ، وفقًا لـ المستندات. قال يو من Resecurity إن المتسللين يحتاجون فقط إلى عنوان بريد إلكتروني وكلمة مرور صالحين للوصول إلى حساب الشركة على بوابة خدمة العملاء.

من بين الشركات الأخرى التي تم الحصول على تفاصيل تسجيل دخول عمالها ، وفقًا لـ Resecurity والمستندات: Bharti Airtel Ltd. في الهند ، و Bloomberg LP (مالك Bloomberg News) ، و ByteDance Ltd. ، و Ford Motor Co. ، و Globe Telecom Inc . في الفلبين ، شركة Mastercard Inc. و Morgan Stanley و Paypal Holdings Inc. و Porsche AG و SoftBank Corp. و Telstra Group Ltd. في أستراليا و Tencent Holdings Ltd. و Verizon Communications Inc. و Wells Fargo & Co.

وقالت بايدو في بيان "لا نعتقد أن أي بيانات تعرضت للاختراق. تولي Baidu اهتمامًا كبيرًا لضمان أمن بيانات عملائنا. سنراقب عن كثب أمور مثل هذا وسنظل في حالة تأهب لأي تهديدات ناشئة لأمن البيانات في أي جزء من عملياتنا ".

قال ممثل عن بورش: "في هذه الحالة المحددة ليس لدينا ما يشير إلى وجود أي خطر." قال ممثل SoftBank إن شركة تابعة صينية توقفت عن استخدام GDS العام الماضي. قال الممثل: "لم يتم تأكيد أي تسرب لبيانات العملاء من الشركة الصينية المحلية ، ولم يكن هناك أي تأثير على أعمالها وخدماتها".

قال متحدث باسم Telstra ، "لسنا على علم بأي تأثير على الأعمال التجارية بعد هذا الخرق" ، بينما قال ممثل Mastercard ، "بينما نواصل مراقبة هذا الموقف ، لا ندرك أي مخاطر على أعمالنا أو تأثير على شبكة أو أنظمة معاملاتنا ".

قال ممثل عن Tencent ، "لسنا على علم بأي تأثير على النشاط التجاري بعد هذا الخرق. نحن ندير خوادمنا داخل مراكز البيانات مباشرةً ، مع عدم وجود إمكانية وصول لمشغلي مرافق مراكز البيانات إلى أي بيانات مخزنة على خوادم Tencent. لم نكتشف أي وصول غير مصرح به لأنظمة وخوادم تكنولوجيا المعلومات لدينا بعد التحقيق ، والتي تظل آمنة ومأمونة ".

قال متحدث باسم Wells Fargo إنها استخدمت GDS للبنية التحتية الاحتياطية لتكنولوجيا المعلومات حتى ديسمبر 2022. وقالت الشركة: "لم يكن لدى GDS إمكانية الوصول إلى بيانات Wells Fargo أو الأنظمة أو شبكة Wells Fargo". رفضت جميع الشركات الأخرى التعليق أو لم ترد.

قال يو من Resecurity أنه في كانون الثاني (يناير) ، ضغط العميل السري في شركته على المتسللين لإظهار ما إذا كان لا يزال بإمكانهم الوصول إلى الحسابات. وقال إن المتسللين قدموا لقطات شاشة توضح لهم تسجيل الدخول إلى حسابات لخمس شركات والانتقال إلى صفحات مختلفة في بوابات الإنترنت GDS و STT GDC. سمحت إعادة الأمان لـ Bloomberg News بمراجعة تلك اللقطات.

في GDS ، تمكن المتسللون من الوصول إلى حساب لنظام تجارة الصرف الأجنبي الصيني ، وهو ذراع البنك المركزي الصيني الذي يلعب دورًا رئيسيًا في اقتصاد ذلك البلد ، ويقوم بتشغيل منصة تداول العملات الأجنبية والديون الرئيسية للحكومة ، وفقًا للقطات الشاشة و Resecurity. لم ترد المنظمة على الرسائل.

في STT GDC ، تمكن المتسللون من الوصول إلى حسابات National Internet Exchange of India ، وهي منظمة تربط مزودي الإنترنت في جميع أنحاء البلاد ، وثلاثة آخرين مقرهم في الهند: MyLink Services Pvt. و Skymax Broadband Services Pvt. و Logix InfoSecurity Pvt. ، تظهر لقطات الشاشة.

قالت شركة National Internet Exchange في الهند ، التي اتصلت بها بلومبرج ، إنها لم تكن على علم بالحادث ورفضت التعليق. لم تستجب أي من المنظمات الأخرى في الهند لطلبات التعليق.

عند سؤاله عن الادعاء بأن المتسللين ما زالوا يصلون إلى الحسابات في يناير باستخدام بيانات الاعتماد المسروقة ، قال ممثل GDS ، "لقد اكتشفنا مؤخرًا عدة هجمات جديدة من المتسللين باستخدام معلومات الوصول إلى الحساب القديم. لقد استخدمنا العديد من الأدوات التقنية لمنع هذه الهجمات. حتى الآن ، لم نعثر على أي اختراق جديد ناجح من المتسللين والذي يرجع إلى ضعف نظامنا ".

وأضاف ممثل GDS: "كما نعلم ، لم يقم عميل واحد بإعادة تعيين إحدى كلمات مرور حساباته إلى هذا التطبيق الذي ينتمي إلى موظف سابق له. هذا هو سبب فرضنا مؤخرًا إعادة تعيين كلمة المرور لجميع المستخدمين. نعتقد أن هذا حدث منعزل. إنه ليس نتيجة اختراق المتسللين لنظام الأمان لدينا ".

قالت شركة STT GDC إنها تلقت إخطارًا في يناير بتهديدات أخرى لبوابات خدمة العملاء في "منطقتنا في الهند وتايلاند". وقالت الشركة: "تشير تحقيقاتنا حتى الآن إلى أنه لم يكن هناك فقدان للبيانات أو تأثير على أي من بوابات خدمة العملاء هذه".

في أواخر يناير ، بعد أن غيّرت GDS و STT GDC كلمات مرور العملاء ، رصدت Resecurity المتسللين الذين ينشرون قواعد البيانات للبيع على منتدى ويب مظلم ، باللغتين الإنجليزية والصينية ، وفقًا لـ Yoo.

ذكر المنشور أن "قواعد البيانات تحتوي على معلومات العملاء ، ويمكن استخدامها للتصيد ، والوصول إلى الخزانات ، ومراقبة الطلبات والمعدات ، وأوامر اليد عن بُعد". "من يمكنه المساعدة في التصيد المستهدف؟"

الأكثر قراءة من Bloomberg Businessweek

© شنومكس بلومبرغ لب