两个主要科技公司使用的数据中心被黑客攻击

亚洲数据中心网络攻击调查

关键要点

最近发现，位于亚洲的两座数据中心成为了一系列网络攻击的目标。这些攻击首次被识别是在2021年，而最近的一次发生在2023年1月。这三年来窃取的数据包括管理这些数据中心的人员凭证以及客户访问两个数据中心运营商云服务的登录信息。

根据Resecurity最近的报告，攻击的目标是位于上海的GDS Holdings和新加坡的ST Telemedia Global Data Centres。2月20日，彭博社的一份报告指出，受到影响的数据中心客户包括阿里巴巴集团控股、亚马逊、高盛和沃尔玛。

从数据中心窃取的数据与企业客服系统如客户服务、票务管理和支持门户、远程管理服务以及数据中心员工和客户的电子邮件账户凭证有关。研究人员表示，攻击者利用这些数据深入系统，并试图访问嵌入式服务器管理服务远程支持服务，如OpenBMC、FreeIPMI和iDRAC。

目前尚不清楚Resecurity提到的近十家《财富》100强公司受到影响的程度。彭博社的报道指出，这些公司多表示没有对客户造成损害，拒绝评论或者表示在获知事件后已采取额外的安全防护措施。

研究人员将这些攻击比作SolarWinds和Kaseya。他们写道：“威胁行为者持续升级其技术和战术，数据中心组织正成为其主要攻击目标之一。”

黑客论坛售卖数据中心客户记录

Resecurity在2021年9月首次通知数据中心运营商，发现有2000条数据中心客户记录在地下黑客论坛上待售。在一个案例中，攻击者正在出售与位于台湾的核能研究所有关的“被盗Office 365账户”。

在2022年，研究人员发现证据显示袭击者能够通过非法访问客户服务门户、客服和票务管理系统窃取了1210条额外记录。研究人员表示，上个月又有10家组织继续成为攻击目标。

“尚不清楚此次[2023年事件]是否是由于多个客户在2021年事件后未更改密码、缺乏意识或反应，或这次事件可能被视为‘新’事件，”研究人员写道。

攻击者的身份也不明确，研究人员指出，根据地下犯罪论坛上的互联网帖子，攻击者可能位于亚洲某地。

“论坛的大部分部分都有中文翻译，我们在此能够识别出多个源自中国和东南亚国家的行为者，”研究人员写道。

从受害者手中提取的数据最终出现在各种针对勒索软件网络犯罪分子的地下市场上。

Resecurity强调：“针对数据中心组织的恶意网络活动在供应链网络安全方面设立了重要的先例。”他们敦促安全专业人士加快对OT和IT供应链的评估与减轻工作。

“与供应商进行关于可能涉及客户账户及相关数据的网络安全事件的透明沟通也是至关重要的，”他们写道。