Secondo la società di cybersicurezza Resecurity, nell’ultimo anno e mezzo sono stati osservati attacchi informatici che hanno preso di mira diversi data center in varie regioni del mondo, con conseguente esfiltrazione di informazioni relative ad alcune delle più grandi aziende del mondo e la pubblicazione delle credenziali di accesso sul dark web.

“L’attività informatica dannosa che prende di mira i data center crea un precedente significativo nel contesto della cybersicurezza della supply chain, ha scritto Resecurity. “Ci aspettiamoche gli aggressori aumentino le attività informatiche dannose nei confronti dei data center e dei loro clienti”.

Resecurity non ha fatto i nomi delle vittime, ma secondo un report di Bloomberg i cyberattacchi hanno rubato le credenziali dei data center di importanti aziende tra cui Alibaba, Amazon, Apple, BMW, Goldman Sachs, Huawei Technologies, Microsoft e Walmart. Resecurity ha avvertito per la prima volta i data center di una campagna malevola nel settembre 2021, con ulteriori aggiornamenti su altri due episodi nel corso del 2022 e del gennaio 2023. L’obiettivo dell’attività era quello di rubare i dati sensibili delle aziende e delle organizzazioni governative clienti dei data center.

I dati dei clienti scaricati sul dark web

Recentemente, le credenziali relative alle organizzazioni di data center e acquisite durante i vari episodi della campagna malevola sono state pubblicate sul forum underground Breached.to e rilevate dai ricercatori alcuni giorni fa, con alcuni frammenti di quella particolare cache di dati che sono stati anche condivisi su Telegram. Resecurity ha identificato diversi attori sul dark web, potenzialmente originari dell’Asia, che nel corso della campagna sono riusciti ad accedere ai record dei clienti e a esfiltrare i dati da uno o più database relativi a specifiche applicazioni e sistemi utilizzati da diverse organizzazioni.

In almeno uno dei casi, l’accesso iniziale è stato probabilmente ottenuto tramite un modulo vulnerabile di helpdesk o di gestione dei ticket integrato con altre applicazioni e sistemi, che ha permesso all’attore delle minacce di eseguire un movimento laterale. Secondo Resecurity, l’attore è stato in grado di estrarre un elenco di telecamere a circuito chiuso con i relativi identificatori di flussi video utilizzati per monitorare gli ambienti dei data center, oltre a informazioni sulle credenziali relative al personale IT e ai clienti dei data center. Una volta raccolte le credenziali, l’attore ha eseguito un probing attivo per raccogliere informazioni sui rappresentanti dei clienti aziendali che gestiscono le operazioni nel data center, elenchi di servizi acquistati e apparecchiature installate.

L’attività malevola ha come obiettivo i dati di verifica dei clienti

Nel settembre 2021, quando la campagna è stata osservata per la prima volta dai ricercatori di Resecurity, l’attore delle minacce coinvolto in quell’episodio è stato in grado di raccogliere vari record da oltre 2.000 clienti del data center. Questi includevano credenziali, e-mail, numeri di telefono e riferimenti alla carta d’identità, probabilmente utilizzati per alcuni meccanismi di verifica dei clienti.

Azure HPC

L’attore è stato anche in grado di compromettere uno degli account di posta elettronica interni utilizzati per la registrazione dei visitatori, che potrebbe essere utilizzato per cyber-spionaggio o altri scopi malevoli. Nel 2022, l’attore è stato in grado di esfiltrare un database di clienti che si presume contenga 1.210 record da un’organizzazione con sede a Singapore.

Il terzo episodio della campagna malevola, osservato nel gennaio di quest’anno, ha coinvolto un’organizzazione negli Stati Uniti che era cliente di uno dei data center precedentemente colpiti. “Le informazioni su questo episodio sono ancora limitate rispetto ai due episodi precedenti, ma l’attacco è riuscito a raccogliere diverse credenziali utilizzate dal personale IT che hanno garantito l’accesso al portale dei clienti in un altro data center”, ha scritto Resecurity.

Il 28 gennaio, i dati rubati durante la campagna sono stati pubblicati con lo scopo di essere venduti su una comunità clandestina del dark web chiamata Ramp, spesso utilizzata da gruppi di ransomware. “Molto probabilmente l’attore si è reso conto che la sua attività poteva essere rilevata e che il valore dei dati poteva diminuire nel tempo: ecco perché l’idea di una monetizzazione immediata”, ha dichiarato Resecurity, aggiungendo che potrebbero esserci altre ragioni per il data dump. “Queste tattiche sono spesso utilizzate dagli attori degli stati-nazione per mascherare la loro attività, in genere per confondere il motivo dell’attacco”.

I data center asiatici nel mirino

Sebbene Resecurity non abbia fatto i nomi degli operatori di data center identificati nell’attacco, Bloomberg ha riferito che GDS Holdings, con sede a Shanghai, e ST Telemedia Global Data Centres, con sede a Singapore, sono tra le organizzazioni vittime. GDS ha riconosciuto che un sito web di assistenza clienti è stato violato nel 2021, ma ha dichiarato che non c’è stato alcun rischio per i sistemi informatici o i dati dei clienti. Anche ST Telemedia ha dichiarato che non c’è stato alcun rischio per i clienti.

Secondo Resecurity, le organizzazioni identificate nei set di dati trapelati sono istituzioni finanziarie con una presenza globale, fondi di investimento, società di ricerca biomedica, fornitori di tecnologia, siti di e-commerce, servizi cloud, ISP e società di content delivery network. Secondo i ricercatori, queste aziende hanno sede negli Stati Uniti, nel Regno Unito, in Canada, Australia, Svizzera, Nuova Zelanda e Cina.

Resecurity non ha identificato alcun gruppo APT noto come responsabile degli attacchi. I ricercatori osservano che è possibile che le vittime siano state compromesse da più attori diversi. Se non altro la scelta di RAMP come marketplace per offrire i dati ha offerto qualche indizio in più. RAMP ha infatti aggiunto recentemente il supporto per la lingua cinese e la maggior parte delle sezioni del forum è tradotta in cinese; è proprio lì che Resecurity ha potuto identificare più attori provenienti dalla Cina e da paesi del sud-est asiatico.

Le informazioni sull’attività dannosa sono state condivise con le parti interessate e con i team nazionali di risposta alle emergenze informatiche (CERT) di Cina e Singapore. La società di ricerca ha infine condiviso le informazioni anche con le forze dell’ordine statunitensi, in quanto nei set di dati era presente una quantità significativa di informazioni relative alle principali aziende Fortune 500.