Web barındırma devi GoDaddy, çok yıllı bir saldırıda cPanel paylaşımlı barındırma ortamını ihlal ettikten sonra bilinmeyen saldırganların kaynak kodunu çaldığı ve sunucularına kötü amaçlı yazılım yüklediği bir ihlale maruz kaldığını söyledi.
GoDaddy, güvenlik ihlalini Aralık 2022’nin başlarında müşterilerin sitelerinin rastgele alanlara yönlendirmek için kullanıldığını bildirmesinin ardından fark etse de, saldırganlar şirketin ağına birkaç yıl boyunca erişebildi.
“Araştırmamıza dayanarak, bu olayların, diğer şeylerin yanı sıra, sistemlerimize kötü amaçlı yazılım yükleyen ve GoDaddy içindeki bazı hizmetlerle ilgili kod parçalarını ele geçiren, gelişmiş bir tehdit aktörü grubu tarafından yürütülen çok yıllı bir kampanyanın parçası olduğuna inanıyoruz.” firma bir SEC dosyasında söyledi.
Şirket, Kasım 2021 ve Mart 2020’de açıklanan önceki ihlallerin de bu çok yıllı kampanyayla bağlantılı olduğunu söylüyor.
Kasım 2021 olayı, saldırganların güvenliği ihlal edilmiş bir parola kullanarak GoDaddy’nin WordPress barındırma ortamını ihlal etmesinden sonra 1,2 milyon Yönetilen WordPress müşterisini etkileyen bir veri ihlaline yol açtı.
Etkilenen tüm müşterilerin e-posta adreslerine, WordPress Yönetici parolalarına, sFTP ve veritabanı kimlik bilgilerine ve bir aktif istemci alt kümesinin SSL özel anahtarlarına erişim sağladılar.
Mart 2020 ihlalinden sonra GoDaddy, Ekim 2019’da bir saldırganın web barındırma hesabı kimlik bilgilerini SSH aracılığıyla barındırma hesaplarına bağlanmak için kullandığı konusunda 28.000 müşteriyi uyardı.
GoDaddy, ihlalin temel nedenine yönelik devam eden bir soruşturmanın parçası olarak şu anda dünya genelindeki harici siber güvenlik adli tıp uzmanları ve emniyet teşkilatlarıyla birlikte çalışıyor.
Diğer barındırma şirketlerini hedef alan saldırılara bağlantılar
GoDaddy ayrıca, tehdit aktörlerini yıllar boyunca dünya çapındaki diğer barındırma şirketlerini hedef alan daha geniş bir kampanyayla ilişkilendiren ek kanıtlar bulduğunu söylüyor.
Barındırma şirketi yaptığı açıklamada, “Bu olayın GoDaddy gibi barındırma hizmetlerini hedef alan sofistike ve organize bir grup tarafından gerçekleştirildiğine dair kanıtlarımız var ve kolluk kuvvetleri bunu onayladı.” Dedi.
“Aldığımız bilgilere göre, görünürdeki hedefleri, kimlik avı kampanyaları, kötü amaçlı yazılım dağıtımı ve diğer kötü amaçlı faaliyetler için web sitelerine ve sunuculara kötü amaçlı yazılım bulaştırmak.”
GoDaddy en büyük alan adı kayıt şirketlerinden biridir ve ayrıca dünya çapında 20 milyondan fazla müşteriye barındırma hizmetleri sunmaktadır.
Bugün erken saatlerde BleepingComputer ile iletişime geçildiğinde bir GoDaddy sözcüsü yorum yapmak için hemen müsait değildi.
Güncelleme 17 Şubat 12:59 EST: GoDaddy ve diğer barındırma firmalarını hedef alan çok yıllı kampanyayla bağlantılı ihlaller hakkında daha fazla bilgi eklendi.