Hakeri došli do značajnih podataka i ogolili ranjivost svjetskih mreža

U epizodi koja pokazuje svu ranjivost svjetskih računarskih mreža, hakeri su dobili podatke za prijavu na centre podataka u Aziji koje koriste neke od najvećih svjetskih preduzeća. Za špijune ili one koji se bave sabotažom, ovo bi mogao da bude pravi ćup sa zlatom, navode iz istraživačke firme za cyber bezbjednost.

Ranije neprijavljene grupe podataka uključuju e-mailove i lozinke za korisničku podršku dva najveća operatera data centara u Aziji: GDS Holdings Ltd. sa sjedištem u Šangaju i ST Telemedia Global Data Centres sa sjedištem u Singapuru, prema Resecurity Inc. firmi koja se bavi cyber-bezbjednošću i istražuje hakere. Pogođeno je oko 2.000 korisnika GDS-a i STT GDC-a. Hakeri su se prijavili na naloge najmanje pet njih, uključujući glavnu kinesku online mijenjačnicu i četiri druge iz Indije, navodi Resecurity, koji je rekao da se infiltrirao u hakersku grupu.

Nije jasno šta su hakeri uradili (ako su išta uradili) sa ostalim podacima. Informacije su uključivale različit broj podataka za prijavu na web stranice nekih od najvećih svjetskih kompanija, uključujući Alibaba Group Holding Ltd, Amazon.com Inc, Apple Inc, BMW AG, Goldman Sachs Group Inc, Huawei Technologies Co, Microsoft Corp, i Walmart Inc, prema bezbjednosnoj firmi i stotinama stranica dokumenata koje je Bloomberg pregledao.

Odgovarajući na pitanja o nalazima Resecuritya, GDS je u saopštenju naveo da je stranica za korisničku podršku hakovana 2021. Nije jasno kako su hakeri došli do podataka STT GDC-a. Ta kompanija je saopštila da nije pronašla dokaze da je njen portal za korisničku podršku napadnut te godine. Obje kompanije su rekle da lažni akreditivi ne predstavljaju rizik za IT sisteme ili podatke klijenata.

Međutim, Resecurity i rukovodioci četiri velike američke kompanije koje su bile pogođene, rekli su da ukradeni podaci predstavljaju neobičnu i ozbiljnu opasnost, prvenstveno zato što stranice za korisničku podršku kontrolišu fizički pristup IT opremi koja se nalazi u centrima podataka. Oni rukovodioci, koji su za incidente saznali od Bloomberg Newsa i potvrdili informacije sa svojim bezbjednosnim timovima, tražili su da ne budu identifikovani jer nisu bili ovlašteni da javno govore o tome.

Depositphotos

Obim curenja podataka koji je prijavio Resecurity pokazuje da raste rizik sa kojim se kompanije suočavaju zbog njihove zavisnosti od podizvođača u skladištenju podataka i IT opreme. Kompanije moraju ovo da rade kako bi njihove mreže došle do globalnih tržišta. Stručnjaci za bezbjednost kažu da je ovo pitanje posebno problematično u Kini, koja zahtjeva da korporacije koriste usluge lokalnih IT firmi.

"Ovo je noćna mora koja će se ostvariti svakog trena", rekao je Michael Henry, bivši direktor informacija za Digital Realty Trust Inc, jednog od najvećih operatera centara podataka u SAD, kada mu je Bloomberg rekao za incidente. (Incidenti nisu uticali na Digital Realty Trust). Najgori scenario za bilo kog operatera data centra je da napadači nekako dobiju fizički pristup serverima klijenata i instaliraju virus ili dodatnu opremu, rekao je Henry. "Ako to mogu da postignu, mogu potencijalno da znatno poremete komunikaciju i trgovinu".

GDS i STT GDC su rekli da nemaju naznaka da se tako nešto dogodilo i da to nije uticalo na njihove osnovne usluge.

Hakeri su imali pristup podacima za prijavu više od godinu dana prije nego što su ih prošlog mjeseca postavili na prodaju na mračnom internetu (eng. dark web): Cijena je iznosila 175.000 dolara, a prodavci su rekli da je količina podataka prevelika da bi se dalje skladištili, navode iz Resecuritija, a to pokazuje i screenshot u koji je Bloomberg imao uvid.

"Koristio sam neke mete", rekli su hakeri u objavi. "Ali ne mogu da iskoristim sve jer je ukupan broj kompanija veći od 2.000".

E-mail adrese i lozinke su mogle da omoguće hakerima da ostvare pristup kao ovlašcteni korisnici na stranicama korisničke službe, navodi Resecurity. Bezbjednosna firma je otkrila grupe podataka u septembru 2021. i rekla da je takođe pronašla dokaze da su ih hakeri koristili za pristup nalozima GDS i STT GDC klijenata nedavno u januaru, kada su oba operatera data centra natjerala klijenta da resetuju lozinke, navodi Resecurity.

Čak i bez važećih lozinki, podaci bi i dalje bili dragocjeni je omogućavaju hakerima da nađu bolje adrese za svoje "phishing" e-mailove i ciljaju ljude sa visokim stepenom ovlaštenja na mrežama svojih kompanija, navodi Resecurity.

Depositphotos

Većina pogođenih kompanija koje je Bloomberg News kontaktirao, uključujući Alibabu, Amazon, Huawei i Walmart, odbili su da komentarišu. Apple nije odgovorio na poruke u kojima je tražen komentar.

U izjavi, Microsoft je rekao: "Redovno pratimo prijetnje koje bi mogle da utiču na Microsoft i kada se identifikuju potencijalne prijetnje, preduzimamo odgovarajuće mjere da zaštitimo Microsoft i naše klijente." Portparol Goldman Sachs je rekao: "Postavili smo dodatne kontrole za zaštitu od ove vrste napada i zadovoljni smo što naši podaci nisu bili ugroženi".

Proizvođač automobila BMW rekao je da je svjestan problema. Međutim, portparol kompanije je rekao: "Nakon procjene saopštavamo da problem ima veoma ograničen uticaj na odjeljenja BMW-a i nije nanio nikakvu štetu našim kupcima u pogledu podataka." Portparol je dodao: "BMW je apelovao na GDS da poboljša nivo bezbjednosti".

GDS i STT GDC su dva najveća azijska providera usluga "kolokacije". Oni se ponašaju kao stanodavci, iznajmljuju prostor u svojim data centrima klijentima koji tamo instaliraju i upravljaju sopstvenom IT opremom, obično da bi bili bliže klijentima i odjeljenjima kompanija u Aziji. GDS je među tri najbolja providera kolokacije u Kini, drugom najvećem tržištu usluga na svijetu poslije SAD, prema Sinergy Research Group Inc. Singapur je na šestom mjestu.

Kompanije su takođe isprepletene: korporativna dokumentacija pokazuje da je 2014. Singapore Technologies Telemedia Pte, matična kompanija STT GDC, stekla 40 odsto udjela u GDS-u.

Izvršni direktor za bezbjednost Gene Yoo rekao je da je njegova firma otkrila incidente 2021. godine nakon što se jedan od njenih operativaca infiltrirao u hakersku grupu u Kini koja je napala mete vlade na Tajvanu.

Ubrzo nakon toga, upozorio je GDS i STT GDC i mali broj Resecurity klijenata koji su bili pogođeni, prema Yoou i dokumentima.

Resecurity je ponovo kontaktirala GDS i STT GDC u januaru nakon što je otkrila da hakeri pristupaju nalozima, a bezbjednosna firma je takođe upozorila vlasti u Kini i Singapuru u to vrijeme, prema navodima Yoou i dokumentima.

Oba operatera data centara rekli su da su brzo reagovali kada su obaviješteni o bezbjednosnim problemima i da su započeli interne istrage.

Cheryl Lee, portparolka Singapurske agencije za cyber-bezbjednost, rekla je da je agencija "svjesna incidenta i pomaže ST Telemedia po ovom pitanju". CNCERT/CC, kineska nevladina organizacija koja se bavi hitnim odgovorima na cyber prijetnje, nije odgovorila na pitanja.

GDS je priznao da je hakovana web stranica za korisničku podršku i rekao da je istražio i ojačao ranjiva mjesta u kodu stranice 2021.

"Aplikacija koja je bila na meti hakera je ograničena po obimu informacija kojima se može pristupiti, kao što su zahtjevi za izdavanje karata, zakazivanje fizičke isporuke opreme i pregled izvještaja o održavanju", navodi se u saopštenju kompanije. "Zahtjevi upućeni putem aplikacije obično zahtjevaju praćenje i potvrdu van mreže. S obzirom na osnovnu prirodu aplikacije, kršenje nije dovelo do bilo kakve pretnje IT operacijama naših klijenata".

STT GDC je rekao da je doveo eksterne stručnjake za cyber-bezbjednost kada je saznao za incident 2021. godine. "Dotični IT sistem je alatka za izdavanje tiketa za korisničku službu" i "nema veze sa drugim korporativnim sistemima niti bilo kakvom infrastrukturom kritičnih podataka", saopštila je kompanija.

Depositphotos

Kompanija je saopštila da njen portal za korisničku podršku nije hakovan 2021. godine i da su podaci koje je Resecurity dobila "djelimična i zastarjela lista korisničkih podataka za naše aplikacije za prodaju karata. Svi takvi podaci su sada nevažeći i neće predstavljati bezbjedonosni rizik u budućnosti".

"Nije primjećen neovlašcteni pristup ili gubitak podataka", navodi se u saopštenju STT GDC.

Bez obzira na to kako su hakeri koristili te informacije, stručnjaci za cyber bezbjednost kažu da krađe pokazuju da napadači istražuju nove načine da se infiltriraju u "teške mete".

Fizička bezbjednost IT opreme u iznajmljenim prostorima i sistemi za kontrolu pristupa njima predstavljaju ranjivosti koje odjeljenja za korporativnu bezbjednost često zanemaruju, rekao je Malcolm Harkins, bivši šef ponude za bezbjednost i privatnost Intel Corp. Bilo kakvo neovlašcteno mješanje u rad opreme centra podataka "moglo bi da ima razorne posljedice", rekao je Harkins.

Hakeri su dobili e-mail adrese i lozinke za više od 3.000 ljudi u GDS-u - uključujući zaposlene i klijente - i više od 1.000 klijenata STT GDC-a, prema dokumentima koje je pregledao Bloomberg News.

Hakeri su takođe ukrali podakte za prijavu na GDS-ovu mrežu od više od 30.000 kamera za nadzor, od kojih se većina oslanjala na jednostavne lozinke kao što su "admin" ili "admin12345", pokazuju dokumenti. GDS se nije pozabavio pitanjem o navodnoj krađi podataka za prijavu za mrežu kamera, niti o lozinkama.

Broj podataka za prijavu na stranicu korisničke podrške varirao je za različite klijente. Na primjer, postojao je 201 nalog u Alibabi, 99 u Amazonu, 32 u Microsoftu, 16 u Baidu Inc, 15 u Bank of America Corp, sedam u Bank of China Ltd, četiri u Appleu i tri u Goldmanu, pokazuju dokumenti. Yoo iz Resecurity je rekao da je hakerima potrebna samo jedna važeća e-mail adresa i lozinka za pristup nalogu kompanije na portalu za korisničku podršku.

Među ostalim kompanijama čiji su podaci za prijavu radnika dobijeni, prema Reseccuritiy i dokumentima, bili su: Bharti Airtel Ltd. u Indiji, Bloomberg LP (vlasnik Bloomberg News), ByteDance Ltd, Ford Motor Co, Globe Telecom Inc. na Filipinima, Mastercard Inc, Morgan Stanley, Paypal Holdings Inc, Porsche AG, SoftBank Corp, Telstra Group Ltd. u Australiji, Tencent Holdings Ltd, Verizon Communications Inc. i Wells Fargo & Co.

U saopštenju, Baidu je rekao: "Ne vjerujemo da je bilo koji podatak kompromitovan. Baidu posvećuje posebnu pažnju bezbjednosti podataka naših klijenata. Pažljivo ćemo pratiti ovakve stvari i biti na oprezu po pitanju svake nove prijetnje bezbjednosti podataka u bilo kom dijelu naših operacija".

Predstavnik Porschea je rekao: "U ovom konkretnom slučaju nemamo naznaka da je postojao bilo kakav rizik." Predstavnik SoftBank rekao je da je kineska podružnica prestala da koristi GDS prošle godine. "Nije potvrđeno nikakvo curenje podataka o klijentima iz lokalne kineske kompanije, niti je bilo kakvog uticaja na njeno poslovanje i usluge", rekao je predstavnik.

Portparol Telstre je rekao: "Nismo svjesni bilo kakvog uticaja na poslovanje nakon ovog napada", dok je predstavnik Mastercard rekao: "Dok nastavljamo da pratimo ovu situaciju, nismo svjesni bilo kakvih rizika po naše poslovanje ili uticaja na naše transakcione mreže ili sisteme".

Predstavnik Tencenta je rekao: "Nismo svesni bilo kakvog uticaja na poslovanje nakon ovog napada. Mi direktno upravljamo našim serverima unutar centara podataka, pri čemu operateri centara podataka nemaju pristup podacima koji se čuvaju na Tencent serverima. Nismo otkrili nikakav neovlašcteni pristup našim IT sistemima i serverima nakon istrage, koji ostaju bezbjedni i stabilni".

Bloomberg

Portparol kompanije Wells Fargo rekao je da je kompanija koristila GDS za rezervnu IT infrastrukturu do decembra 2022. "GDS nije imao pristup podacima, sistemima ili mreži Wells Fargo," saopštila je kompanija. Ostale kompanije su odbile da komentarišu ili nisu odgovorile.

Yoo iz Resecurity rekao je da je u januaru tajni operativac njegove firme pritiskao hakere da pokažu da li još uvijek imaju pristup nalozima. Hakeri su dali snimke ekrana na kojima se vidi kako se prijavljuju na naloge za pet kompanija i odlaze do različitih stranica na GDS i STT GDC online portalima, rekao je. Resecurity je dozvolila Bloomberg News da pregleda te screenshotove.

U GDS-u, hakeri su pristupili nalogu za Kineski devizni trgovinski sistem, ogranak kineske centralne banke koji igra ključnu ulogu u ekonomiji te zemlje jer upravlja glavnom vladinom platformom za trgovinu devizama i obveznicama. Iz organizacije nisu odmah odgovorili na poruke.

U STT GDC, hakeri su pristupili nalozima za National Internet Exchange of India (Nacionalna internet berza Indije), organizaciju koja povezuje internet providere širom zemlje, i tri druge sa sjedištem u Indiji: MyLink Services Pvt, Skymax Broadband Services Pvt, i Logix InfoSecurity Pvt, pokazuju screenshotovi.

Bloomberg je kontaktirao Nacionalnu internet berzu Indije koja je rekla da nije upoznata sa incidentom i odbila je dalje komentarisanje. Nijedna druga organizacija u Indiji nije odgovorila na zahtjeve za komentar.

Upitan o tvrdnji da su hakeri i dalje pristupali nalozima u januaru koristeći ukradene podatke, predstavnik GDS-a je rekao: "Nedavno smo otkrili više novih napada hakera koristeći stare informacije o pristupu nalogu. Koristili smo različite tehničke alate da blokiramo ove napade. Do sada nismo zabilježili uspješan hakerski napad koji je iskoristio ranjivost našeg sistema".

Predstavnik GDS-a je dodao: "Kao što znamo, jedan jedini korisnik nije resetovao jednu od svojih lozinki naloga za ovu aplikaciju koja je pripadala njihovom bivšem zaposlenom. To je razlog zašto smo nedavno nametnuli resetovanje lozinke za sve korisnike. Vjerujemo da je ovo izolovan događaj. To nije rezultat hakerskog napadaa koji je prodro u naš bezbjednosni sistem".

STT GDC je saopštio da je u januaru dobio obavještenje o dodatnim prijetnjama portalima za korisničku podršku u "regionima Indije i Tajlanda". "Naša dosadašnja istraživanja pokazuju da nije bilo gubitka podataka ili uticaja na bilo koji od ovih portala za korisničku podršku", saopštila je kompanija.

Krajem januara, nakon što su GDS i STT GDC promijenili korisničke lozinke, Resecurity je zabilježio pokušaje hakera da podatke prodaju na mračnom internetu, na engleskom i kineskom, rekao je Yoo.

"Baze podataka sadrže informacije o klijentima, mogu se koristiti za phishing, pristup, praćenje narudžbi i opreme, narudžbine na daljinu", navodi se u postu. "Ko može da pomogne sa ciljanim phishingom?"

 

Da kontaktirate sa autorom priče:

Jordan Robertson, London na jrobertson40@bloomberg.net