Des cyberattaques frappent des datacenters pour voler des informations à l'échelle mondiale

Selon l’entreprise de cybersécurité Resecurity, depuis un an et demi, des cyberattaques ciblent plusieurs datacenters dans plusieurs régions du monde, qui ont débouché sur l'exfiltration d'informations provenant de certaines des plus grandes entreprises du monde et la publication d'identifiants d'accès sur le dark web. « La cyberactivité malveillante ciblant certains opérateurs de datacenters crée un précédent important dans le contexte de la cybersécurité de la chaîne d'approvisionnement », a déclaré Resecurity dans un billet de blog. L’entreprise de cybersécurité pense que les attaquants devraient accroître leurs activités malveillantes contre les datacenters et leurs clients.

Resecurity n'a pas révélé le nom des victimes, mais selon un rapport distinct de Bloomberg, les cyberattaques ont volé des informations d'identification de datacenters de grandes entreprises, dont Alibaba, Amazon, Apple, BMW, Goldman Sachs, Huawei Technologies, Microsoft et Walmart. Bloomberg a déclaré avoir examiné les documents de Resecurity relatifs à cette activité malveillante. Resecurity déclare avoir averti les datacenters de cette campagne malveillante, une première fois en septembre 2021, puis deux fois en 2022 et en janvier 2023. Selon Resecurity, le but de ces attaques était de voler des données sensibles d'entreprises et d'organisations gouvernementales clientes des opérateurs de datacenters.

Des enregistrements de clients déversés sur le dark web

Plus récemment, des informations d'identification volées à des opérateurs de datacenters à différents moments de la campagne malveillante ont été publiées sur le forum underground Breached.to et détectées ce lundi par les chercheurs. Certains fragments de ce cache de données particulier ont également été partagés par divers acteurs de la menace sur Telegram. Resecurity a identifié plusieurs acteurs sur le dark web, potentiellement originaires d'Asie, qui, au cours de la campagne, ont réussi à accéder à des enregistrements de clients et à les exfiltrer d'une ou plusieurs bases de données liées à des applications et systèmes spécifiques utilisés par plusieurs opérateurs.

Dans un des cas, au moins, l'accès initial a probablement été obtenu via un module vulnérable de gestion des tickets ou de centre d’assistance intégré à d'autres applications et systèmes, ce qui a permis à l'acteur de la menace d'effectuer un mouvement latéral. « L'acteur de la menace a pu extraire une liste de caméras CCTV avec les identifiants de flux vidéo associés, utilisés pour surveiller les environnements de datacenters, ainsi que des informations d'identification relatives au personnel informatique et aux clients des datacenters », a déclaré Resecurity. Une fois les informations d'identification collectées, l'acteur a effectué des sondages actifs pour recueillir des informations sur les représentants des entreprises clientes qui gèrent les opérations dans le datacenter, des listes de services achetés et d'équipements déployés.

Les données de vérification des clients, cible de l'activité malveillante

« En septembre 2021, date à laquelle la campagne a été observée pour la première fois par les chercheurs de Resecurity, l'acteur de la menace impliqué dans cet épisode a pu collecter divers enregistrements de plus de 2 000 clients du datacenter », a déclaré Resecurity. Notamment des références d'identifiants, de courriels, de téléphones portables et de cartes d'identité, susceptibles d'être utilisées pour certains mécanismes de vérification des clients. (Autour du 24 janvier 2023, l’entreprise affectée a demandé aux clients de changer leurs mots de passe). Toujours selon Resecurity, l'acteur a également pu compromettre l'un des comptes de messagerie internes utilisés pour enregistrer les visiteurs, lequel pourrait être utilisé plus tard à des fins de cyberespionnage ou à d'autres fins malveillantes. Dans le deuxième épisode de la campagne observé en 2022, l'acteur a pu exfiltrer une base de données clients contenant potentiellement 1 210 enregistrements d’un hébergeur dont le siège est à Singapour.

Le troisième épisode de la campagne malveillante, observé en janvier de cette année, a impliqué une entreprise américaine cliente de l'un des datacenters précédemment impactés. « Les informations sur cet épisode restent limitées par rapport aux 2 épisodes précédents, mais Resecurity a pu collecter plusieurs identifiants utilisés par le personnel IT pour accorder l'accès au portail client dans un autre datacenter », a déclaré Resecurity. Par ailleurs, le 28 janvier, les données volées pendant la campagne ont été publiées pour être vendues sur une communauté souterraine du dark web appelée Ramp, souvent utilisée par des courtiers en accès initial et des groupes de ransomware. « L'acteur a très probablement réalisé que son activité pouvait être détectée et que la valeur des données pouvait baisser avec le temps, d’où cette monétisation immédiate assez prévisible », a déclaré Resecurity, ajoutant que d'autres raisons avaient peut-être motivé le dumping de données. « De telles tactiques sont souvent utilisées par les acteurs étatiques pour masquer leur activité, généralement pour brouiller le motif de l'attaque », a ajouté l’entreprise de cybersécurité.

Des datacenters asiatiques touchés

Resecurity n'a pas révélé le nom des opérateurs de datacenters identifiés dans l'attaque, mais Bloomberg a indiqué que GDS Holdings, basé à Shanghai, et ST Telemedia Global Data Centres, basé à Singapour, faisaient partie des entreprises victimes. GDS a reconnu qu'un site Web d'assistance aux clients a été violé en 2021, mais a déclaré qu'il n'y avait aucun risque pour les systèmes IT ou les données des clients, a rapporté Bloomberg. ST Telemedia a également déclaré qu'il n'y avait aucun risque pour les clients. Les entreprises identifiées dans les ensembles de données ayant fait l'objet de fuites sont des institutions financières présentes dans le monde entier, ainsi que des fonds d'investissement, des sociétés de recherche biomédicale, des fournisseurs de technologies, des sites de commerce électronique, des services cloud, des FAI et des entreprises spécialisées dans les réseaux de diffusion de contenu, selon Resecurity. « Les entreprises ont leur siège aux États-Unis, au Royaume-Uni, au Canada, en Australie, en Suisse, en Nouvelle-Zélande et en Chine », ont précisé les chercheurs.

Resecurity n'a identifié aucun groupe APT connu auquel elle pouvait attribuer la responsabilité de ces attaques. Les chercheurs n’excluent pas l’implication d’acteurs multiples et différents. « Le choix de RAMP comme place de marché pour vendre des données fournit aussi quelques pistes », a estimé Resecurity. RAMP a ajouté le support de la langue chinoise et a invité les hackers parlant chinois à rejoindre la communauté. « La majorité des sections du forum sont traduites en chinois, et c'est là que nous avons pu identifier de multiples acteurs originaires de Chine et de pays d'Asie du Sud-Est », a déclaré Resecurity. Les informations relatives à cette activité malveillante ont été partagées avec les parties concernées et les équipes nationales des centres d'alerte et de réaction aux attaques informatiques (CERT) en Chine et à Singapour. Resecurity a également partagé des informations avec les autorités américaines, car les ensembles de données contenaient une quantité importante d'informations provenant de grandes entreprises du Fortune 500.