Siber Savaş / Ulus-Devlet Saldırıları , Dolandırıcılık Yönetimi ve Siber Suçlar , Coğrafi Odak: Asya
Saldırganlar Olası Siber Casusluk Kampanyasında Hizmet Sistemlerindeki Verileri İnceledi
Jayant Chakraborty (@JayJay_Tech) •
3 Mart 2023
Çin ve Singapur’daki veri merkezi dış kaynak sağlayıcılarının ve yardım masası sağlayıcılarının çok uluslu müşterilerini aktif olarak hedefleyen tehdit aktörleri, çalınan kimlik bilgilerini veri sızıntısı sitelerinde satışa sunuyor ve siber güvenlik firması Resecurity, bu eylemlerin bir ulus devlet siber casusluk kampanyasının parçası olabileceğini söylüyor.
Ayrıca bakınız: İsteğe Bağlı | İnsan Davranışını Anlamak: Perakende Sektörünün ATO ve Dolandırıcılığı Önleme Zorluğunun Üstesinden Gelmek
Ocak ayında yeniden güvenlik, tehdit aktörlerinin çalınan kimlik bilgilerini artık feshedilmiş RaidForums’un halefi olduğuna inanılan bir yeraltı forumu olan Breached.to’da paylaştığını tespit etti.
Tehdit aktörleri, veri merkezi istemcilerine hizmet vermek için yaygın olarak kullanılan diğer uygulamalar ve sistemlerle entegre olan müşteri hizmetleri portalları, yardım masaları veya bilet yönetimi modülleri gibi uygulama ve sistemlerdeki güvenlik açıklarından yararlanarak çeşitli veri merkezi dış kaynak sağlayıcılarının ağlarına ilk erişimi elde etti.
Yeniden güvenlik, tehdit aktörlerinin güvenliği ihlal edilmiş ağlar içinde yanal olarak hareket ettiğini ve önemli sayıda Fortune 500 şirketi de dahil olmak üzere dünya çapındaki müşterileriyle ilişkili çeşitli kayıtları sızdırdığını gözlemledi.
Çin’de veri merkezi ortak yerleşimi ve yönetilen hizmetler sağlayan GDS Holdings’e yönelik böyle bir saldırıda, tehdit aktörleri veri merkezi ortamlarını izlemek için kullanılan ilgili video akışı tanımlayıcıları ile birlikte veri merkezi operatörleri, BT ile ilişkili kimlik bilgileriyle birlikte CCTV kameralarının bir listesini çıkardı. personel ve müşteriler. Saldırganlar bu kimlik bilgilerini, satın alınan hizmetlerin ve dağıtılan ekipmanların bir listesini elde etmek ve veri merkezindeki işlemleri yöneten müşteri tarafı personeliyle ilişkili verileri toplamak için kullandı.
Tehdit aktörleri, müşteri kuruluşlarının sunucularını uzaktan yönetmesine ve sorunlarını gidermesine olanak tanıyan Remote Hands Service özelliği hakkında bilgi almak için veri merkezinin ağını da inceledi. Ayrıca muhtemelen müşteri doğrulaması için kullanılan kimlik bilgileri, e-posta adresleri, cep telefonu ve kimlik kartı verilerini ele geçirdiler ve ziyaretçileri kaydetmek için kullanılan dahili bir e-posta hesabını ele geçirdiler. Bu veri kayıtları, bilgisayar korsanlarına şirketin müşterileri ve müşteri tarafında veri merkezi operasyonlarından sorumlu personel hakkında kesin bilgiler verdi.
Tehdit aktörleri, merkezi Singapur’da bulunan ve veri kolokasyonu, bağlantı, barındırma ve bulut depolama hizmetleri sunan bir veri merkezi şirketi olan ST Telemedia Global Data Centers’ı da hedef aldı. Resecurity’e göre, aktörler muhtemelen güvenliği ihlal edilmiş bir müşteri hizmetleri portalı veya bilet yönetim sistemi aracılığıyla ilk erişimi elde ettiler ve 1.210 kayıt içeren bir müşteri veritabanını çaldılar. Tehdit aktörlerinin ağı incelemeye yönelik başka girişimleri muhtemelen şirket tarafından tespit edildi ve engellendi.
Muhtemel Casusluk Kampanyası?
Resecurity, araştırmacılarının Eylül 2021’de veri merkezi şirketlerine yönelik saldırıları tespit etmeye başladığını ve Ocak 2023’te bazıları Hindistan’da bulunan 10 farklı kuruluşun müşteri portallarına erişmeye yönelik başka girişimler gözlemlediklerini söylüyor. Firma, son erişim girişimlerinin 2021’deki önceki saldırılarla ilgili olabileceğine inanıyor ve yeni hedef alınan bazı kuruluşların daha önce veri merkezlerini felaket kurtarma veya aktif operasyonlar için kullandığını tespit etti.
Tehdit aktörleri, veri merkezlerinden çalınan verileri, ilk erişim aracıları ve fidye yazılımı gruplarının uğrak yeri olan karanlık bir web topluluğu olan RAMP’ta 28 Ocak’ta yayınladı. Resecurity, veri açık artırmasının Çinli veri merkezi şirketinin zorunlu bir parola değişikliği gerçekleştirmesiyle tetiklendiğine ve bilgisayar korsanlarının çalınan verilerden para kazanmak için çok az zamanları olduğuna veya ulus devlet siber casusluk aktörlerinin gerçek amaçlarını gizlemek için verileri satışa sunduklarına inanmasına neden olduğuna inanıyor. verileri çalmak için.
Resecurity, “Bu bilginin siber casusluk ve ulus devlet grupları için son derece değerli olabileceğine inanıyoruz” diyor.
Resecurity, APT’nin kampanyaya dahil olduğuna dair bir kanıta rastlamadı, ancak hedef alınan kuruluşların Çin, Tayvan, Singapur, Tayland, Vietnam, Brunei ve Malezya’da bulunduğunu söyledi. Bu şirketler, yatırım fonları, biyomedikal araştırma şirketleri, teknoloji satıcıları, e-ticaret ve çevrimiçi pazar yerleri için verileri yönetir.
Veri Merkezleri Kritik İşlemler Üzerindeki Etkiyi Reddetti
STT GDC, Resecurity’nin araştırmasıyla ilgili bir Bloomberg haberine yanıt olarak, veri merkezi ortamının “tamamen çalışır durumda ve güvenli” olduğunu ve müşteri hizmetleri portalları için çalındığı iddia edilen kullanıcı kimlik bilgilerinin veri merkezleri veya müşteri BT sistemleri için risk oluşturmadığını söyledi. veya veri.
STT GDC, Bloomberg makalesi hakkında yaptığı açıklamada, “STT GDC’nin müşteri hizmetleri portalları, üçüncü taraflarca barındırılan bulut tabanlı SaaS uygulamalarıdır ve veri merkezi altyapımızla veya herhangi bir müşteri BT ekipmanımızla kesinlikle hiçbir mantıksal veya fiziksel bağlantısı yoktur.” “Bu uygulamalar öncelikle müşteriler tarafından bir hizmet talebi başlatmak için kullanılır. Tasarım gereği, bu müşteri hizmetleri portalları herhangi bir kişisel veya işle ilgili kritik veri içermez.”
Çin merkezli veri merkezi şirketi GDS Holdings, siber güvenlik olayının müşterilerinin BT operasyonlarını etkilemediğini söyledi. “Bilgisayar korsanları tarafından hedef alınan uygulamanın kapsamı ve bilgileri, biletleme isteklerinde bulunma, ekipmanın fiziksel teslimatını planlama ve bakım raporlarını inceleme gibi kritik olmayan hizmet işlevleriyle sınırlıdır.
“Uygulama aracılığıyla yapılan talepler genellikle çevrimdışı takip ve onay gerektirir. Uygulamanın temel yapısı göz önüne alındığında, ihlal müşterilerimizin BT operasyonları için herhangi bir tehdide yol açmadı.”
Resecurity aksini düşünüyor. Firma, Information Security Media Group’a, bir müşteri hizmetleri portalının veri merkeziyle fiziksel bir bağlantısı olmasa da, müşterilerin ekipmanlarını, hizmetlerini ve operasyonlarını yönetmelerini açıkça sağladığını söyledi.
“Böyle bir sistemin tavizi, kötü aktörlerin o veri merkezini kullanan kilit operatörler hakkında kritik bilgileri ve onlar hakkında olası ek bilgileri toplamasına olanak tanır. Veri merkezi operasyonlarını yöneten BT personeli hakkındaki bilgi, deneyimli kötü aktörler için temel hedeflerden biridir. ” diyor güvenlik.
Güvenlik firması, tehdidin veri merkezi güvenliğini doğrudan etkilemediğini, ancak çok sayıda Fortune 500 şirketinin veri merkezi yöneticileri, yöneticileri, teknisyenleri ve diğer BT personeli gibi son kullanıcıların kimliklerini ifşa ettiğini söyledi. Tehdit aktörleri, veri merkezi BT personeli ve müşterilerine ait yardım masası sistemlerini, çağrı yönetimi ve destek portallarını, ziyaretçi yönetim sistemlerini, uzaktan yönetim ve cihaz izleme çözümlerini, sunucu yönetim yazılımlarını ve e-posta hesaplarını hedef alarak başarı şanslarını artırmaya çalıştı.
Risk azaltma
Resecurity, veri merkezlerinin ve müşterilerinin hedeflenmesinin artmasını bekliyor ve ağ savunucularına BT ve OT ortamlarına yönelik saldırıları azaltmak için uygun önlemleri değerlendirmelerini tavsiye ediyor. “Tedarik zinciri siber güvenliğiyle ilgili veri ihlalleri, ulus devletler ve gelişmiş siber suçlu ve casusluk grupları dahil olmak üzere gelişmiş tehdit aktörlerinin katılımı nedeniyle kamu yararı açısından önemli olmaya devam ediyor” diyor.
Firma ayrıca, veri merkezi hizmetleri firmalarının, müşteri hesaplarını ve ilgili verileri içerebilecek olası herhangi bir siber güvenlik olayı hakkında birbirlerini bilgilendirmelerini tavsiye eder.