Hewlett Packard Enterprise (HPE), bir tehdit aktörünün, çalındığı iddia edilen verileri bir bilgisayar korsanlığı forumunda satışa sunmasının ardından, bunların HPE kimlik bilgilerini ve diğer hassas bilgileri içerdiğini iddia ederek olası yeni bir ihlali araştırıyor.
Şirket, BleepingComputer’a herhangi bir güvenlik ihlaline dair kanıt bulamadığını ve herhangi bir fidye talep edilmediğini ancak tehdit aktörünün iddialarını araştırdığını söyledi.
HPE’nin Küresel İletişim Kıdemli Direktörü Adam R. Bauer Perşembe günü BleepingComputer’a “İddiaların farkındayız ve bunların doğruluğunu araştırıyoruz” dedi.
“Şu anda HPE ürünlerine veya hizmetlerine herhangi bir izinsiz giriş veya herhangi bir etki olduğuna dair bir kanıt bulamadık. Herhangi bir gasp girişimi yaşanmadı.”
Şirketin devam eden soruşturmasıyla ilgili ek ayrıntılar vermesi istendiğinde Bauer, “paylaşacak yeni bir şeyleri olmadığını” söyledi.
İddia edilen HPE verilerini satan tehdit aktörü IntelBroker, çalındığı iddia edilen bazı HPE kimlik bilgilerinin ekran görüntülerini paylaştı ancak henüz bilginin kaynağını veya bu bilgiyi elde etmek için kullanılan yöntemi açıklamadı.
Tehdit aktörü, bilgisayar korsanlığı forumundaki bir gönderide “Bugün, Hewlett Packard Enterprise’dan aldığım verileri satıyorum” diyor.
“Daha spesifik olarak veriler şunları içerir: CI/CD erişimi, Sistem günlükleri, Yapılandırma Dosyaları, Erişim Belirteçleri, HPE StoreOnce Dosyaları (Seri numaraları garantisi vb.) ve Erişim şifreleri. (E-posta hizmetleri de dahildir).”
IntelBroker, ABD Temsilciler Meclisi üyelerinin ve çalışanlarının kişisel verilerinin ifşa edilmesinin ardından kongre duruşmasına yol açan DC Health Link’in ihlaliyle tanınıyor.
IntelBroker ile bağlantılı diğer siber güvenlik olayları Weee! bakkal hizmeti ve General Electric Aviation’ın ihlal edildiği iddiası.
Rus bilgisayar korsanları HPE kurumsal e-posta hesaplarını ihlal ediyor
Bu soruşturma, HPE’nin iki hafta önce şirketin Microsoft Office 365 e-posta ortamının Mayıs 2023’te şirketin Rusya Dış İstihbarat Servisi (SVR) ile bağlantılı Rus APT29 bilgisayar korsanlığı grubunun parçası olduğuna inanılan bilgisayar korsanları tarafından ihlal edildiğini açıklamasının ardından geldi.
Şirket, Rus bilgisayar korsanlarının siber güvenlik ekibinden ve diğer departmanlardan SharePoint dosyalarını ve verilerini çaldığını ve HPE’nin bulut tabanlı e-posta ortamının ihlali konusunda tekrar uyarıldığı Aralık ayına kadar bulut altyapısına erişimi sürdürdüğünü söyledi.
“12 Aralık 2023’te HPE’ye, şüpheli bir ulus devlet aktörünün şirketin Office 365 e-posta ortamına yetkisiz erişim sağladığı bildirildi. HPE, bir soruşturma başlatmak, olayı düzeltmek ve etkinliği ortadan kaldırmak için derhal siber yanıt protokollerini etkinleştirdi.” HPE, BleepingComputer’a söyledi.
“Devam eden bu soruşturma aracılığıyla, bu ulus devlet aktörünün Mayıs 2023’ten itibaren siber güvenlik, pazara giriş, iş segmentleri ve diğer alanlardaki bireylere ait HPE posta kutularının küçük bir yüzdesine eriştiğini ve bu verileri sızdırdığını belirledik. işlevler.”
HPE’nin Rusya’daki hack açıklamasından günler önce Microsoft, APT29’un liderlik ekibine ve siber güvenlik ve hukuk departmanlarındaki çalışanlara ait bazı kurumsal e-posta hesaplarını ihlal ettiği benzer bir ihlali ortaya çıkardı.
Microsoft daha sonra, tehdit aktörlerinin, yanlış yapılandırılmış bir test kiracısı hesabına “şifre püskürtme” saldırısında parolasını kaba kuvvetle zorlayarak hackledikten sonra kurumsal e-posta hesaplarına erişim elde ettiğini paylaştı.
HPE ayrıca 2018 yılında APT10 Çinli bilgisayar korsanlarının IBM’in ağlarına sızması ve bu erişimi müşterilerinin cihazlarına sızmak için kullanması sonucunda da ihlal edilmişti.
Daha yakın bir zamanda HPE, 2021’de Aruba Central ağ izleme platformunun veri depolarının ele geçirildiğini ve saldırganların izlenen cihazlar ve konumları hakkındaki verilere erişmesine olanak sağladığını açıkladı.