Taki przerażający scenariusz nakreśliła firma Resecurity, która wyszczególniła złośliwe kampanie, które podobno rozpoczęły się w 2021 roku, ale stały się widoczne na początku tego miesiąca, kiedy to zrzuty informacji zostały ujawnione na znanym forum Breached.to.
“Resecurity zidentyfikował kilku aktorów w Dark Web potencjalnie pochodzących z Azji, udało im się zdobyć dostęp do rekordów ‘klientów’ i wydobyć je z jednej lub wielu baz danych związanych z konkretnymi aplikacjami i systemami, które są wykorzystywane przez kilka organizacji datacenter” – czytamy w opisie incydentu przygotowanym przez szefów bezpieczeństwa.
W jednym z przypadków, w Chinach, Resecurity zapewnia, że “początkowy dostęp został uzyskany poprzez podatny moduł helpdesku lub zarządzania zgłoszeniami, posiadający integrację z innymi aplikacjami i systemami, i w rezultacie, według naszej oceny, mógł pozwolić im na wykonanie ruchu bocznego w jednym z obserwowanych scenariuszy.”
Ten ruch boczny obejmował dostęp do listy kamer CCTV operatora centrum danych “z powiązanymi identyfikatorami strumieni wideo wykorzystywanych do monitorowania środowisk centrum danych, a także informacji uwierzytelniających związanych z operatorami (personel IT w centrum danych) i klientami.”
Przestępcy zdobyli dane uwierzytelniające klientów, a następnie przeszli do pracy w ich systemach kontroli, “aby zebrać informacje o przedstawicielach klientów korporacyjnych, którzy zarządzają operacjami w centrum danych, listę zakupionych usług i wdrożonego sprzętu.”
Atakujący próbowali również podsłuchać usługę remote hands oferowaną przez operatorów centrów danych – usługi, w ramach których pracownicy centrum danych przeprowadzają fizyczną i programową konserwację zestawu najemców. Potencjał chaosu płynącego z kierowania zdalnych rąk do wykonywania fałszywych zadań jest znaczny.
Tak samo jak dostęp do list zatwierdzonych gości najemców – inna taktyka, którą Resecurity twierdzi, że zaobserwował w Chinach.
“Aktor był w stanie skompromitować jedno z wewnętrznych kont e-mail używanych do rejestracji gości – co mogło być następnie wykorzystane do cyberszpiegostwa lub innych złośliwych celów”, ponieważ “Informacje o gościach mogą ujawnić ważne informacje o dokładnym personelu odpowiedzialnym za operacje w centrum danych od strony klienta.”
Gdy atakujący wie, kto może odwiedzić centrum danych, zabezpieczenie danych uwierzytelniających tej osoby najprawdopodobniej staje się nierealne.
Operatorzy centrów danych z pewnością stanowią kuszący cel. Duży operator będzie miał prawdopodobnie setki klientów, których zestaw kolokacyjny działa w jego murach.
Ogromne centra danych mogą nawet gościć jednostki hiperskalarne. A perspektywa zdobycia przez przestępców dostępu do milionów serwerów obsługiwanych przez AWS, Azure lub inne duże chmury jest z pewnością bliska najgorszemu scenariuszowi dla milionów pracowników IT.
