Przestępcy wzięli na celownik operatorów centrów danych w Singapurze i Chinach, podglądając ich kamery CCTV i uzyskując dostęp do list najemców, a następnie atakując tych klientów.

Taki przerażający scenariusz nakreśliła firma Resecurity, która wyszczególniła złośliwe kampanie, które podobno rozpoczęły się w 2021 roku, ale stały się widoczne na początku tego miesiąca, kiedy to zrzuty informacji zostały ujawnione na znanym forum Breached.to.

„Resecurity zidentyfikował kilku aktorów w Dark Web potencjalnie pochodzących z Azji, udało im się zdobyć dostęp do rekordów 'klientów’ i wydobyć je z jednej lub wielu baz danych związanych z konkretnymi aplikacjami i systemami, które są wykorzystywane przez kilka organizacji datacenter” – czytamy w opisie incydentu przygotowanym przez szefów bezpieczeństwa.

W jednym z przypadków, w Chinach, Resecurity zapewnia, że „początkowy dostęp został uzyskany poprzez podatny moduł helpdesku lub zarządzania zgłoszeniami, posiadający integrację z innymi aplikacjami i systemami, i w rezultacie, według naszej oceny, mógł pozwolić im na wykonanie ruchu bocznego w jednym z obserwowanych scenariuszy.”

Ten ruch boczny obejmował dostęp do listy kamer CCTV operatora centrum danych „z powiązanymi identyfikatorami strumieni wideo wykorzystywanych do monitorowania środowisk centrum danych, a także informacji uwierzytelniających związanych z operatorami (personel IT w centrum danych) i klientami.”

Przestępcy zdobyli dane uwierzytelniające klientów, a następnie przeszli do pracy w ich systemach kontroli, „aby zebrać informacje o przedstawicielach klientów korporacyjnych, którzy zarządzają operacjami w centrum danych, listę zakupionych usług i wdrożonego sprzętu.”

Atakujący próbowali również podsłuchać usługę remote hands oferowaną przez operatorów centrów danych – usługi, w ramach których pracownicy centrum danych przeprowadzają fizyczną i programową konserwację zestawu najemców. Potencjał chaosu płynącego z kierowania zdalnych rąk do wykonywania fałszywych zadań jest znaczny.

Tak samo jak dostęp do list zatwierdzonych gości najemców – inna taktyka, którą Resecurity twierdzi, że zaobserwował w Chinach.

„Aktor był w stanie skompromitować jedno z wewnętrznych kont e-mail używanych do rejestracji gości – co mogło być następnie wykorzystane do cyberszpiegostwa lub innych złośliwych celów”, ponieważ „Informacje o gościach mogą ujawnić ważne informacje o dokładnym personelu odpowiedzialnym za operacje w centrum danych od strony klienta.”

Gdy atakujący wie, kto może odwiedzić centrum danych, zabezpieczenie danych uwierzytelniających tej osoby najprawdopodobniej staje się nierealne.

Operatorzy centrów danych z pewnością stanowią kuszący cel. Duży operator będzie miał prawdopodobnie setki klientów, których zestaw kolokacyjny działa w jego murach.

Ogromne centra danych mogą nawet gościć jednostki hiperskalarne. A perspektywa zdobycia przez przestępców dostępu do milionów serwerów obsługiwanych przez AWS, Azure lub inne duże chmury jest z pewnością bliska najgorszemu scenariuszowi dla milionów pracowników IT.