Resecurity, küresel olarak veri merkezi hizmet sağlayıcılarını hedef alan kötü amaçlı siber faaliyetlerin artması konusunda uyarıda bulunuyor. Kaliforniya merkezli siber güvenlik şirketi tarafından kısa süre önce yayınlanan ayrıntılı rapora göre, Eylül 2021’de Resecurity, birkaç veri merkezi kuruluşunu kendilerini ve müşterilerini hedef alan kötü amaçlı siber etkinlik konusunda bilgilendirdi. Bu tür kuruluşlar, kurumsal tedarik zincirinin kritik bir parçası olarak hareket eder ve ulus-devlet, suç ve siber casusluk grupları için çekici bir hedef haline gelir.
Bu faaliyetle ilgili ayrıntılar, daha fazla analiz ve risk azaltma için etkilenen taraflarla ve Çin ve Singapur’daki ulusal bilgisayar acil durum müdahale ekipleriyle saygıyla paylaşılmıştır. 2022’de ve Ocak 2023’te alınan diğer güncellemeler de, gözlemlenen veri setlerinde büyük Fortune 500 şirketlerinin önemli ölçüde bulunması nedeniyle ABD Kolluk Kuvvetleri ile paylaşıldı.
Bu kuruluşlardan bazıları Resecurity’in mevcut müşterileridir ve kampanya geliştirmenin ilk aşamasında bilgilendirilmiştir. Birçoğu bunu tedarik zincirleri için önemli bir risk olarak yorumladı ve daha fazla olay müdahalesi başlattı.
CNCERT/CC’ye bildirilen vakalardan birinde, ilk erişimin diğer uygulamalar ve sistemlerle entegrasyona sahip savunmasız bir yardım masası modülü aracılığıyla sağlanmış olması muhtemeldir, bu, gözlemlenen bölümlerden birinde yanal hareket gerçekleştirmeye izin verebilir. Oyuncu, muhtemelen veri merkezi ortamlarını izlemek için kullanılan ilgili video akışı tanımlayıcıları ile CCTV kameralarının bir listesini ve ayrıca operatörler (veri merkezindeki BT personeli) ve müşterilerle ilgili kimlik bilgilerini çıkarmayı başardı.
Müşteri kimlik bilgileri toplandıktan sonra aktör, veri merkezinde operasyonları yöneten kurumsal müşterilerin temsilcileri, satın alınan hizmetlerin listesi ve dağıtılan ekipman hakkında bilgi toplamayı amaçlayan müşteri panellerinde aktif araştırma yaptı.
Belirlenen kampanyanın 1. bölümünde oyuncu, muhtemelen belirli müşteri doğrulamaları için kullanılacak olan cep telefonu ve kimlik kartı numaralarını da toplayabildi. 24 Ocak 2023 civarında CNCERT ile iletişim kurduktan sonra, etkilenen kuruluş müşterileri şifrelerini değiştirmeye zorladı. Aynı kampanyanın 2. bölümünde aktör, APAC’de anlamlı ayak izine sahip başka bir veri merkezi kuruluşundan benzer kayıtları sızdırmayı başardı.
Ocak 2023’te, İnsan İstihbaratı (HUMINT) kaynakları aracılığıyla Resecurity, bazıları Hindistan’da bulunan 10 farklı kuruluşun müşteri portallarına başarılı erişim girişimlerini doğrulayabilecek eserler aldı. Özellikle gözlemlenen müşteri portalları, Uzak Eller Hizmeti (RHS), erişim izni ve malzeme hareketi gibi veri merkezi organizasyonları için tipik olan çeşitli özellikler içeriyordu. Bu olayla ilgili bilgiler CNCERT/CC, Singapur Bilgisayar Acil Durum Müdahale Ekibi (SingCERT) ve kolluk kuvvetleriyle paylaşıldı.
Resecurity, bu kimlik bilgilerinin kaynağı hakkında geri bildirim toplamak için birden çok tarafa (koruma altındaki müşteriler ve ortak kuruluşlar) ulaştı – kimlik bilgilerinin kullanıldığını doğrulayan bazı kişiler, kendileri ve BT personeli tarafından kullanılmış ve bu veri merkezi felaket kurtarma veya bölgedeki aktif operasyonlar için kullanılır.
28 Ocak 2023 – Oyuncu, çalınan verileri, genellikle ilk erişim aracıları (IAB’ler) ve fidye yazılımı grupları tarafından kullanılan Dark Web’deki yeraltı topluluklarından birinde satışa sundu. Muhtemelen, bu adımın arkasındaki sebep, veri merkezleri organizasyonu tarafından 1. bölüme kadar uzanan beklenmedik, zorunlu bir şifre değişikliği idi. Kampanyanın 3. bölümü, operatörden bağımsız veri merkezi alanında ve yazılım tanımlı veri merkezi tekliflerinde faaliyet gösteren ABD merkezli bir kuruluşla ilgiliydi. Kuruluşun, yurtdışındaki daha önce etkilenen veri merkezlerinden birinin müşterisi olması dikkat çekicidir. Bu bölümle ilgili bilgiler, önceki 2 bölüme kıyasla sınırlı kalıyor, ancak Resecurity, BT tarafından kullanılan birkaç kimlik bilgisini toplayabildi. 20 Şubat 2023 – Oyuncu, bir yeraltı forumunda önemli miktarda çalıntı veri yayınladı.
Sızan veri kümelerinde tanımlanan kuruluşların çoğu, küresel varlığı olan finansal kuruluşlar (FI’ler), yatırım fonları, biyomedikal araştırma şirketleri, teknoloji satıcıları, e-ticaret, çevrimiçi pazar yerleri, bulut hizmetleri, ISP’ler ve merkezi ABD’de bulunan CDN sağlayıcıları ile ilgilidir. İngiltere, Kanada, Avustralya, Yeni Zelanda, Singapur ve Çin.
Belirlenen kampanya, müşterilerine benzer şekilde dünyanın farklı yerlerinde bulunan veri merkezleri arasındaki önemli bağlantı nedeniyle uluslararası işbirliğinin ve proaktif tehdit istihbaratı paylaşımının önemini vurgulayabilir.
Veri merkezi kuruluşlarını hedeflemek, tedarik zinciri siber güvenliği bağlamında önemli bir emsal oluşturur. Resecurity, saldırganların veri merkezleri ve müşterileriyle ilgili kötü amaçlı siber etkinliği artırmasını bekler.
Ağ savunucuları, hem OT hem de BT tedarik zinciri siber güvenliğinden kaynaklanan bu tür vektörleri azaltmak için uygun önlemleri değerlendirmelidir. Müşteri hesaplarını ve ilgili verileri içerebilecek olası siber güvenlik olayları hakkında tedarikçilerle şeffaf bir iletişim kurmak çok önemlidir.