(Bloomberg) – In einer Episode, die die Verwundbarkeit globaler Computernetzwerke unterstreicht, haben sich Hacker Zugangsdaten für Rechenzentren in Asien beschafft, die von einigen der größten Unternehmen der Welt verwendet werden, eine potenzielle Fundgrube für Spionage oder Sabotage, so ein Forschungsunternehmen für Cybersicherheit .
Meistgelesen von Bloomberg
Die bisher nicht gemeldeten Daten-Caches beinhalten E-Mails und Passwörter für Kundensupport-Websites für zwei der größten Rechenzentrumsbetreiber in Asien: die in Shanghai ansässige GDS Holdings Ltd. und die in Singapur ansässige ST Telemedia Global Data Centres, so Resecurity Inc., die bereitstellt Cybersicherheitsdienste und untersucht Hacker. Betroffen waren rund 2,000 Kunden von GDS und STT GDC. Hacker haben sich in die Konten von mindestens fünf von ihnen eingeloggt, darunter Chinas wichtigste Devisen- und Schuldenhandelsplattform und vier weitere aus Indien, so Resecurity, das sagte, es habe die Hacking-Gruppe infiltriert.
Es ist nicht klar, was – wenn überhaupt – die Hacker mit den anderen Logins gemacht haben. Die Informationen enthielten Referenzen in unterschiedlicher Anzahl für einige der weltweit größten Unternehmen, darunter Alibaba Group Holding Ltd., Amazon.com Inc., Apple Inc., BMW AG, Goldman Sachs Group Inc., Huawei Technologies Co., Microsoft Corp. und Walmart Inc., laut der Sicherheitsfirma und Hunderten von Seiten von Dokumenten, die Bloomberg überprüft hat.
Auf Fragen zu den Ergebnissen von Resecurity antwortete GDS in einer Erklärung, dass eine Kundensupport-Website im Jahr 2021 verletzt wurde. Es ist nicht klar, wie die Hacker an die STT-GDC-Daten gekommen sind. Das Unternehmen sagte, es habe keine Beweise dafür gefunden, dass sein Kundendienstportal in diesem Jahr kompromittiert worden sei. Beide Unternehmen sagten, dass die betrügerischen Zugangsdaten kein Risiko für die IT-Systeme oder Daten der Kunden darstellten.
Resecurity und Führungskräfte von vier großen betroffenen US-Unternehmen sagten jedoch, die gestohlenen Zugangsdaten stellten eine ungewöhnliche und ernsthafte Gefahr dar, vor allem weil die Kundensupport-Websites kontrollieren, wer physisch auf die in den Rechenzentren untergebrachten IT-Geräte zugreifen darf. Diese Führungskräfte, die von Bloomberg News von den Vorfällen erfuhren und die Informationen mit ihren Sicherheitsteams bestätigten, baten darum, nicht identifiziert zu werden, weil sie nicht befugt waren, öffentlich über die Angelegenheit zu sprechen.
Melden Sie sich hier für unseren wöchentlichen Newsletter zur Cybersicherheit, das Cyber Bulletin, an.
Das Ausmaß des von Resecurity gemeldeten Datenverlusts verdeutlicht das wachsende Risiko, dem Unternehmen aufgrund ihrer Abhängigkeit von Dritten bei der Unterbringung von Daten und IT-Geräten und der Unterstützung ihrer Netzwerke bei der Erschließung globaler Märkte ausgesetzt sind. Sicherheitsexperten sagen, dass das Problem in China besonders akut ist, wo Unternehmen mit lokalen Datendienstanbietern zusammenarbeiten müssen.
„Dies ist ein Albtraum, der darauf wartet, passiert zu werden“, sagte Michael Henry, ehemaliger Chief Information Officer von Digital Realty Trust Inc., einem der größten US-Rechenzentrumsbetreiber, als er von Bloomberg über die Vorfälle informiert wurde. (Digital Realty Trust war von den Vorfällen nicht betroffen). Das Worst-Case-Szenario für jeden Rechenzentrumsbetreiber ist, dass Angreifer irgendwie physischen Zugang zu den Servern der Kunden erhalten und bösartigen Code oder zusätzliche Ausrüstung installieren, sagte Henry. „Wenn sie das erreichen, können sie die Kommunikation und den Handel potenziell in großem Umfang stören.“
GDS und STT GDC sagten, sie hätten keine Hinweise darauf, dass so etwas passiert sei und dass ihre Kerndienste nicht beeinträchtigt seien.
Die Hacker hatten mehr als ein Jahr lang Zugriff auf die Anmeldeinformationen, bevor sie sie letzten Monat für 175,000 US-Dollar im Dark Web zum Verkauf anboten. Laut Resecurity und einem Screenshot der von Bloomberg überprüften Veröffentlichung sagten sie, sie seien von der Menge überwältigt .
„Ich habe einige Ziele verwendet“, sagten die Hacker in der Post. „Aber nicht in der Lage, da die Gesamtzahl der Unternehmen über 2,000 liegt.“
Die E-Mail-Adressen und Passwörter könnten es Hackern ermöglicht haben, sich als autorisierte Benutzer auf den Kundendienst-Websites auszugeben, so Resecurity. Die Sicherheitsfirma entdeckte die Daten-Caches im September 2021 und sagte, sie habe auch Beweise dafür gefunden, dass Hacker damit noch im Januar auf Konten von GDS- und STT-GDC-Kunden zugegriffen hätten, als beide Rechenzentrumsbetreiber laut Resecurity das Zurücksetzen von Kundenkennwörtern erzwangen.
Auch ohne gültige Passwörter wären die Daten immer noch wertvoll – so könnten Hacker laut Resecurity gezielte Phishing-E-Mails gegen Personen mit hochgradigem Zugriff auf die Netzwerke ihrer Unternehmen erstellen.
Die meisten betroffenen Unternehmen, die Bloomberg News kontaktierte, darunter Alibaba, Amazon, Huawei und Walmart, lehnten eine Stellungnahme ab. Apple hat nicht auf Nachrichten mit der Bitte um einen Kommentar geantwortet.
In einer Erklärung sagte Microsoft: „Wir überwachen regelmäßig auf Bedrohungen, die sich auf Microsoft auswirken könnten, und wenn potenzielle Bedrohungen identifiziert werden, ergreifen wir geeignete Maßnahmen, um Microsoft und unsere Kunden zu schützen.“ Ein Sprecher von Goldman Sachs sagte: „Wir haben zusätzliche Kontrollen zum Schutz vor dieser Art von Datenschutzverletzung eingerichtet und sind überzeugt, dass unsere Daten nicht gefährdet waren.“
Der Autohersteller BMW sei sich des Problems bewusst. Ein Unternehmenssprecher sagte jedoch: „Nach der Bewertung hat das Problem nur sehr begrenzte Auswirkungen auf das BMW-Geschäft und hat BMW-Kunden und produktbezogenen Informationen keinen Schaden zugefügt.“ Der Sprecher fügte hinzu: „BMW hat GDS aufgefordert, das Informationssicherheitsniveau zu verbessern.“
GDS und STT GDC sind zwei der größten Anbieter von „Colocation“-Diensten in Asien. Sie fungieren als Vermieter und vermieten Flächen in ihren Rechenzentren an Kunden, die dort ihre eigene IT-Ausrüstung installieren und verwalten, um in der Regel näher an Kunden und Geschäftsbetrieben in Asien zu sein. Laut Synergy Research Group Inc. gehört GDS zu den drei führenden Colocation-Anbietern in China, dem zweitgrößten Markt für diesen Service weltweit nach den USA. Singapur belegt den sechsten Platz.
Die Unternehmen sind auch miteinander verflochten: Eine Unternehmensanmeldung zeigt, dass Singapore Technologies Telemedia Pte, die Muttergesellschaft von STT GDC, 2014 einen Anteil von 40 % an GDS erworben hat.
Gene Yoo, Chief Executive Officer von Resecurity, sagte, seine Firma habe die Vorfälle im Jahr 2021 aufgedeckt, nachdem einer ihrer Mitarbeiter verdeckt eine Hackergruppe in China infiltriert hatte, die Ziele der Regierung in Taiwan angegriffen hatte.
Bald darauf alarmierte es GDS und STT GDC sowie eine kleine Anzahl von Resecurity-Kunden, die laut Yoo und den Dokumenten betroffen waren.
Resecurity benachrichtigte GDS und STT GDC im Januar erneut, nachdem festgestellt wurde, dass Hacker auf Konten zugegriffen hatten, und die Sicherheitsfirma alarmierte damals auch die Behörden in China und Singapur, so Yoo und die Dokumente.
Beide Rechenzentrumsbetreiber sagten, sie hätten umgehend reagiert, als sie über die Sicherheitsprobleme informiert wurden, und interne Untersuchungen eingeleitet.
Cheryl Lee, eine Sprecherin der Cyber Security Agency of Singapore, sagte, die Agentur sei „sich des Vorfalls bewusst und unterstütze ST Telemedia in dieser Angelegenheit“. Das National Computer Network Emergency Response Technical Team/Coordination Center of China, eine Nichtregierungsorganisation, die sich mit Cyber-Notfallmaßnahmen befasst, reagierte nicht auf Nachrichten, in denen um Kommentare gebeten wurde.
GDS räumte ein, dass eine Kundensupport-Website verletzt wurde, und sagte, dass es eine Schwachstelle auf der Website im Jahr 2021 untersucht und behoben habe.
„Die von Hackern angegriffene Anwendung ist in Umfang und Informationen auf unkritische Servicefunktionen beschränkt, wie z. „Anfragen, die über die Anwendung gestellt werden, erfordern normalerweise eine Offline-Nachverfolgung und -Bestätigung. Angesichts der grundlegenden Art der Anwendung führte der Verstoß zu keiner Bedrohung des IT-Betriebs unserer Kunden.“
STT GDC sagte, es habe externe Cybersicherheitsexperten hinzugezogen, als es 2021 von dem Vorfall erfuhr. „Das fragliche IT-System ist ein Ticketing-Tool für den Kundendienst“ und „hat keine Verbindung zu anderen Unternehmenssystemen oder einer kritischen Dateninfrastruktur“, sagte das Unternehmen .
Das Unternehmen sagte, dass sein Kundendienstportal im Jahr 2021 nicht verletzt wurde und dass die von Resecurity erhaltenen Anmeldeinformationen „eine unvollständige und veraltete Liste von Benutzeranmeldeinformationen für unsere Kunden-Ticketing-Anwendungen sind. Solche Daten sind jetzt ungültig und stellen kein Sicherheitsrisiko für die Zukunft dar.“
„Es wurden keine unbefugten Zugriffe oder Datenverluste beobachtet“, heißt es in der Erklärung von STT GDC.
Unabhängig davon, wie die Hacker die Informationen möglicherweise verwendet haben, sagten Cybersicherheitsexperten, dass die Diebstähle zeigen, dass Angreifer neue Wege erkunden, um harte Ziele zu infiltrieren.
Die physische Sicherheit von IT-Geräten in Rechenzentren von Drittanbietern und die Systeme zur Zugriffskontrolle stellen Schwachstellen dar, die von Sicherheitsabteilungen von Unternehmen oft übersehen werden, sagte Malcolm Harkins, ehemaliger Leiter des Sicherheits- und Datenschutzangebots von Intel Corp. Jede Manipulation des Rechenzentrums Ausrüstung „könnte verheerende Folgen haben“, sagte Harkins.
Die Hacker erlangten E-Mail-Adressen und Passwörter von mehr als 3,000 Personen bei GDS – einschließlich seiner eigenen Mitarbeiter und der seiner Kunden – und mehr als 1,000 von STT GDC, wie aus den von Bloomberg News geprüften Dokumenten hervorgeht.
Die Hacker stahlen auch Zugangsdaten für das Netzwerk von GDS mit mehr als 30,000 Überwachungskameras, von denen die meisten auf einfache Passwörter wie „admin“ oder „admin12345“ angewiesen waren, wie die Dokumente zeigen. GDS beantwortete keine Frage zum angeblichen Diebstahl von Zugangsdaten für das Kameranetzwerk oder zu den Passwörtern.
Die Anzahl der Anmeldeinformationen für die Kundensupport-Websites variierte für verschiedene Kunden. Demnach gab es beispielsweise 201 Konten bei Alibaba, 99 bei Amazon, 32 bei Microsoft, 16 bei Baidu Inc., 15 bei der Bank of America Corp., sieben bei der Bank of China Ltd., vier bei Apple und drei bei Goldman die Dokumente. Yoo von Resecurity sagte, dass die Hacker nur eine gültige E-Mail-Adresse und ein Passwort benötigen, um auf das Konto eines Unternehmens im Kundendienstportal zuzugreifen.
Zu den anderen Unternehmen, deren Zugangsdaten von Arbeitern erlangt wurden, gehörten laut Resecurity und den Dokumenten: Bharti Airtel Ltd. in Indien, Bloomberg LP (Eigentümer von Bloomberg News), ByteDance Ltd., Ford Motor Co., Globe Telecom Inc . auf den Philippinen, Mastercard Inc., Morgan Stanley, Paypal Holdings Inc., Porsche AG, SoftBank Corp., Telstra Group Ltd. in Australien, Tencent Holdings Ltd., Verizon Communications Inc. und Wells Fargo & Co.
In einer Erklärung sagte Baidu: „Wir glauben nicht, dass irgendwelche Daten kompromittiert wurden. Baidu legt großen Wert auf die Datensicherheit unserer Kunden. Wir werden solche Angelegenheiten genau im Auge behalten und bei allen aufkommenden Bedrohungen für die Datensicherheit in allen Bereichen unserer Geschäftstätigkeit wachsam bleiben.“
Ein Vertreter von Porsche sagte: „In diesem konkreten Fall haben wir keinen Hinweis darauf, dass ein Risiko bestanden hat.“ Ein Vertreter von SoftBank sagte, eine chinesische Tochtergesellschaft habe letztes Jahr die Verwendung von GDS eingestellt. „Es wurde weder ein Leck von Kundendaten aus dem lokalen chinesischen Unternehmen bestätigt, noch gab es irgendwelche Auswirkungen auf sein Geschäft und seine Dienstleistungen“, sagte der Vertreter.
Ein Sprecher von Telstra sagte: „Uns sind keine Auswirkungen auf das Geschäft nach diesem Verstoß bekannt“, während ein Vertreter von Mastercard sagte: „Obwohl wir diese Situation weiterhin beobachten, sind uns keine Risiken für unser Geschäft oder Auswirkungen auf diese bekannt unser Transaktionsnetzwerk oder unsere Transaktionssysteme.“
Ein Vertreter von Tencent sagte: „Uns sind keine Auswirkungen auf das Geschäft nach diesem Verstoß bekannt. Wir verwalten unsere Server direkt in Rechenzentren, wobei die Betreiber von Rechenzentrumseinrichtungen keinen Zugriff auf Daten haben, die auf Tencent-Servern gespeichert sind. Wir haben nach der Untersuchung keinen unbefugten Zugriff auf unsere IT-Systeme und Server entdeckt, die sicher und geschützt bleiben.“
Ein Sprecher von Wells Fargo sagte, dass GDS bis Dezember 2022 für die Sicherung der IT-Infrastruktur verwendet wurde. „GDS hatte keinen Zugriff auf Daten, Systeme oder das Wells Fargo-Netzwerk von Wells Fargo“, sagte das Unternehmen. Alle anderen Unternehmen lehnten eine Stellungnahme ab oder antworteten nicht.
Yoo von Resecurity sagte, dass der verdeckte Ermittler seiner Firma die Hacker im Januar zu einer Demonstration gedrängt habe, ob sie noch Zugang zu den Konten hätten. Die Hacker stellten Screenshots zur Verfügung, die zeigten, wie sie sich bei Konten von fünf Unternehmen anmeldeten und zu verschiedenen Seiten in den Online-Portalen GDS und STT GDC navigierten, sagte er. Resecurity erlaubte Bloomberg News, diese Screenshots zu überprüfen.
Bei GDS griffen die Hacker auf ein Konto des China Foreign Exchange Trade System zu, einem Zweig der chinesischen Zentralbank, der eine Schlüsselrolle in der Wirtschaft dieses Landes spielt und die wichtigste Devisen- und Schuldenhandelsplattform der Regierung betreibt, wie aus den Screenshots und Resecurity hervorgeht. Die Organisation reagierte nicht auf Nachrichten.
Bei STT GDC griffen die Hacker auf Konten für den National Internet Exchange of India zu, eine Organisation, die Internetanbieter im ganzen Land verbindet, und drei weitere in Indien ansässige: MyLink Services Pvt., Skymax Broadband Services Pvt. und Logix InfoSecurity Pvt. die Screenshots zeigen.
Von Bloomberg erreicht, sagte der National Internet Exchange of India, er sei sich des Vorfalls nicht bewusst und lehnte weitere Kommentare ab. Keine der anderen Organisationen in Indien antwortete auf Bitten um Stellungnahme.
Auf die Behauptung angesprochen, dass Hacker im Januar immer noch mit den gestohlenen Zugangsdaten auf Konten zugegriffen hätten, sagte ein GDS-Vertreter: „Kürzlich haben wir mehrere neue Angriffe von Hackern entdeckt, die die alten Kontozugriffsinformationen verwendet haben. Wir haben verschiedene technische Tools verwendet, um diese Angriffe zu blockieren. Bisher haben wir keinen neuen erfolgreichen Einbruch von Hackern festgestellt, was auf unsere Systemschwachstelle zurückzuführen ist.“
Der GDS-Vertreter fügte hinzu: „Wie wir wissen, hat ein einziger Kunde eines seiner Kontokennwörter nicht auf diese Anwendung zurückgesetzt, die einem ehemaligen Mitarbeiter von ihm gehörte. Aus diesem Grund haben wir kürzlich für alle Benutzer ein Zurücksetzen des Passworts erzwungen. Wir glauben, dass dies ein Einzelfall ist. Es ist nicht das Ergebnis von Hackern, die unser Sicherheitssystem durchbrechen.“
STT GDC sagte, es habe im Januar eine Benachrichtigung über weitere Bedrohungen für Kundendienstportale in „unseren Regionen Indien und Thailand“ erhalten. „Unsere bisherigen Untersuchungen zeigen, dass es bei keinem dieser Kundenserviceportale zu Datenverlusten oder Beeinträchtigungen gekommen ist“, so das Unternehmen.
Ende Januar, nachdem GDS und STT GDC die Passwörter der Kunden geändert hatten, entdeckte Resecurity die Hacker, die laut Yoo die Datenbanken in einem dunklen Webforum auf Englisch und Chinesisch zum Verkauf anboten.
„DBs enthalten Kundeninformationen, können für Phishing, Zugang zu Schränken, Überwachung von Bestellungen und Geräten, Remote-Hands-Bestellungen verwendet werden“, heißt es in der Post. „Wer kann bei gezieltem Phishing helfen?“
Am meisten gelesen von Bloomberg Businessweek
© 2023 Bloomberg LP
Quelle: https://finance.yahoo.com/news/hackers-scored-data-center-logins-020028440.html