0
0
A Resecurity alerta sobre o aumento de atividades cibernéticas maliciosas direcionadas aos provedores de serviços de data center em todo o mundo. De acordo com o relatório detalhado divulgado recentemente pela empresa de segurança cibernética com sede na Califórnia, durante setembro de 2021, a Resecurity notificou várias organizações de data centers sobre atividades cibernéticas maliciosas direcionadas a elas e a seus clientes. Essas organizações agem como uma parte crítica da cadeia de suprimentos corporativa e se tornam um alvo interessante para grupos estatais, criminosos e de ciberespionagem.
Os detalhes sobre essa atividade foram compartilhados com as partes afetadas e as equipes nacionais de resposta a emergências de computadores na China e em Cingapura, respeitosamente, para análise posterior e mitigação de riscos. Outras atualizações recebidas durante 2022 e em janeiro de 2023 também foram compartilhadas com as autoridades policiais dos EUA devido à presença significativa das principais empresas da Fortune 500 nos conjuntos de dados observados.
Algumas dessas organizações são clientes atuais da Resecurity e foram notificadas no estágio inicial do desenvolvimento da campanha. Muitos deles interpretaram isso como um risco significativo para sua cadeia de suprimentos e iniciaram uma resposta adicional ao incidente.
Num dos casos reportados ao CNCERT/CC, é provável que o acesso inicial tenha sido obtido através de um módulo de helpdesk vulnerável com integração com outras aplicações e sistemas, o que poderá permitir efetuar o movimento lateral num dos episódios observados. O ator conseguiu extrair uma lista de câmeras CCTV com identificadores de fluxo de vídeo associados, presumivelmente usados para monitorar ambientes de data center, bem como informações de credenciais relacionadas a operadores (equipe de TI no data center) e clientes.
Uma vez que as credenciais do cliente foram coletadas, o ator realizou sondagens ativas nos painéis de clientes com o objetivo de coletar informações sobre os representantes dos clientes corporativos que gerenciam as operações no data center, a lista de serviços adquiridos e os equipamentos implantados.
Durante o 1º episódio da campanha identificada, o ator também conseguiu coletar números de celular e carteira de identidade, provavelmente usados para determinadas verificações de clientes. Após comunicação com o CNCERT por volta de 24 de janeiro de 2023, a organização afetada forçou os clientes a alterar suas senhas. Durante o segundo episódio da mesma campanha, o ator conseguiu extrair registros semelhantes de outra organização de data center com presença significativa na APAC.
Em janeiro de 2023, por meio de fontes de Inteligência Humana (HUMINT), a Resecurity adquiriu artefatos que podem confirmar as tentativas bem-sucedidas de acesso a portais de clientes de 10 organizações diferentes, algumas das quais com sede na Índia. Notavelmente, os portais de clientes observados incluíam vários recursos, típicos de organizações de data center, como Remote Hands Service (RHS), permissão de acesso e movimentação de materiais. As informações sobre este incidente foram compartilhadas com CNCERT/CC, Equipe de Resposta a Emergências de Computadores de Cingapura (SingCERT) e autoridades policiais.
A Resecurity entrou em contato com várias partes (clientes sob proteção e organizações parceiras) para coletar feedback sobre a origem dessas credenciais – alguns contatos confirmando o uso das credenciais foram utilizados por eles e sua equipe de TI, e esse data center foi usado para recuperação de desastres ou operações ativas na região.
28 de janeiro de 2023 – o ator publicou os dados roubados para venda em uma das comunidades clandestinas na Dark Web frequentemente usadas por corretores de acesso inicial (IABs) e grupos de ransomware. Provavelmente, o motivo por trás dessa etapa foi uma mudança inesperada e forçada de senha pela organização do data center desde o primeiro episódio. O terceiro episódio da campanha foi relacionado a uma organização sediada nos Estados Unidos – operando no campo de data center neutro da operadora e ofertas de data center definido por software. Notavelmente, a organização era cliente de um dos centros de dados anteriormente impactados no exterior. As informações sobre este episódio permanecem limitadas em comparação com os 2 episódios anteriores, mas a Resecurity conseguiu coletar várias credenciais usadas pela TI. 20 de fevereiro de 2023 – o ator publicou um fragmento significativo de dados roubados em um fórum clandestino.
A maioria das organizações identificadas nos conjuntos de dados vazados está relacionada a instituições financeiras (IFs) com presença global, fundos de investimento, empresas de pesquisa biomédica, fornecedores de tecnologia, comércio eletrônico, mercados online, serviços em nuvem, ISPs e provedores de CDN com sede nos EUA, Reino Unido, Canadá, Austrália, Nova Zelândia, Cingapura e China.
A campanha identificada pode destacar a importância da cooperação internacional e do compartilhamento proativo de inteligência de ameaças devido à interconexão significativa entre data centers baseados em diferentes partes do mundo semelhantes aos seus clientes.
A segmentação de organizações de data center cria um precedente significativo no contexto da segurança cibernética da cadeia de suprimentos. A Resecurity espera que os invasores aumentem a atividade cibernética maliciosa relacionada aos data centers e seus clientes.
Os defensores da rede devem avaliar as medidas adequadas para mitigar esses vetores da segurança cibernética da cadeia de suprimentos de OT e TI. É crucial ter uma comunicação transparente com os fornecedores sobre possíveis incidentes de segurança cibernética que possam envolver contas de clientes e dados relacionados.
FONTE: DARK READING