(블룸버그) — 글로벌 컴퓨터 네트워크의 취약성을 강조하는 에피소드에서 해커는 사이버 보안 연구 회사에 따르면 세계 최대 기업 중 일부가 사용하는 아시아 데이터 센터의 로그인 자격 증명을 확보했습니다. .
블룸버그에서 가장 많이 읽은
Resecurity Inc.에 따르면 이전에 보고되지 않은 데이터 캐시에는 아시아 최대 데이터 센터 운영업체인 상하이에 본사를 둔 GDS Holdings Ltd.와 싱가포르에 본사를 둔 ST Telemedia Global Data Centres의 고객 지원 웹사이트용 이메일과 암호가 포함되어 있습니다. 사이버 보안 서비스를 제공하고 해커를 조사합니다. GDS 및 STT GDC 고객 약 2,000명이 영향을 받았습니다. 해킹 그룹에 침투했다고 Resecurity에 따르면 해커는 중국의 주요 외환 및 부채 거래 플랫폼과 인도의 다른 XNUMX개 플랫폼을 포함하여 최소 XNUMX개의 계정에 로그인했습니다.
해커가 다른 로그인으로 무엇을 했는지는 확실하지 않습니다. 정보에는 Alibaba Group Holding Ltd., Amazon.com Inc., Apple Inc., BMW AG, Goldman Sachs Group Inc., Huawei Technologies Co., Microsoft Corp., 보안 회사와 Bloomberg가 검토한 수백 페이지의 문서에 따르면 Walmart Inc.
Resecurity의 조사 결과에 대한 질문에 GDS는 성명에서 고객 지원 웹사이트가 2021년에 침해당했다고 밝혔습니다. 해커가 STT GDC 데이터를 얻은 방법은 명확하지 않습니다. 그 회사는 그해 고객 서비스 포털이 손상되었다는 증거를 찾지 못했다고 말했습니다. 두 회사는 악성 자격 증명이 고객의 IT 시스템이나 데이터에 위험을 초래하지 않았다고 말했습니다.
그러나 영향을 받은 XNUMX개 주요 미국 기반 회사의 Resecurity와 경영진은 도난당한 자격 증명이 비정상적이고 심각한 위험을 나타낸다고 말했습니다. 주로 고객 지원 웹 사이트가 데이터 센터에 보관된 IT 장비에 물리적으로 액세스할 수 있는 사람을 제어하기 때문입니다. 블룸버그 뉴스에서 사건에 대해 알게 되고 보안 팀과 정보를 확증한 경영진은 이 문제에 대해 공개적으로 말할 권한이 없기 때문에 신원을 밝히지 말 것을 요청했습니다.
여기에서 주간 사이버 보안 뉴스레터인 Cyber Bulletin에 등록하십시오.
Resecurity가 보고한 데이터 손실의 규모는 데이터 및 IT 장비를 수용하고 네트워크가 글로벌 시장에 도달하는 데 도움이 되는 타사에 대한 의존성으로 인해 회사가 직면하는 위험이 증가하고 있음을 강조합니다. 보안 전문가들은 기업이 현지 데이터 서비스 제공업체와 협력해야 하는 중국에서 이 문제가 특히 심각하다고 말합니다.
미국 최대 데이터 센터 운영자 중 하나인 디지털 부동산 신탁(Digital Realty Trust Inc.)의 전 최고 정보 책임자인 마이클 헨리(Michael Henry)는 블룸버그가 사건에 대해 들었을 때 "이것은 일어나기를 기다리는 악몽입니다. (Digital Realty Trust는 사건의 영향을 받지 않았습니다.) 데이터 센터 운영자에게 최악의 시나리오는 공격자가 클라이언트 서버에 물리적으로 액세스하여 악성 코드 또는 추가 장비를 설치하는 것이라고 Henry는 말했습니다. "만약 그들이 그것을 달성할 수 있다면, 그들은 잠재적으로 대규모로 통신과 상거래를 방해할 수 있습니다."
GDS와 STT GDC는 이와 같은 일이 발생했다는 징후가 없으며 핵심 서비스가 영향을 받지 않았다고 말했습니다.
Resecurity에 따르면 해커들은 지난 달 다크 웹에서 $175,000에 판매용으로 게시하기 전에 XNUMX년 이상 로그인 자격 증명에 액세스할 수 있었습니다. .
해커들은 게시물에서 "나는 몇몇 표적을 사용했다"고 말했다. “근데 업체 수가 2,000개가 넘으니 감당이 안 돼요.”
Resecurity에 따르면 이메일 주소와 비밀번호를 통해 해커는 고객 서비스 웹사이트에서 인증된 사용자로 가장할 수 있었습니다. Resecurity에 따르면 이 보안 회사는 2021년 XNUMX월에 데이터 캐시를 발견했으며 해커가 GDS 및 STT GDC 고객의 계정에 액세스하는 데 이를 사용했다는 증거도 발견했다고 말했습니다.
Resecurity에 따르면 유효한 암호가 없더라도 데이터는 여전히 가치가 있습니다. Resecurity에 따르면 해커가 회사 네트워크에 대한 높은 수준의 액세스 권한을 가진 사람들을 대상으로 하는 표적 피싱 이메일을 만들 수 있습니다.
블룸버그통신이 접촉한 알리바바, 아마존, 화웨이, 월마트 등 영향을 받은 기업 대부분은 언급을 거부했다. 애플은 논평을 요구하는 메시지에 응답하지 않았다.
마이크로소프트는 성명에서 "우리는 마이크로소프트에 영향을 미칠 수 있는 위협을 정기적으로 모니터링하고 잠재적인 위협이 식별되면 마이크로소프트와 고객을 보호하기 위해 적절한 조치를 취한다"고 밝혔다. Goldman Sachs의 대변인은 "우리는 이러한 유형의 위반으로부터 보호하기 위한 추가 통제를 시행하고 있으며 데이터가 위험하지 않은 것에 만족합니다."라고 말했습니다.
자동차 제조사인 BMW는 이 문제를 인지하고 있다고 밝혔다. 그러나 회사 관계자는 "평가 결과 이 문제는 BMW 비즈니스에 미치는 영향이 매우 제한적이며 BMW 고객 및 제품 관련 정보에 피해를 입히지 않았다"고 말했다. 대변인은 "BMW는 GDS에 정보 보안 수준을 개선할 것을 촉구했다"고 덧붙였다.
GDS 및 STT GDC는 아시아 최대의 "코로케이션" 서비스 제공업체입니다. 그들은 집주인 역할을 하며 데이터 센터의 공간을 그곳에 자체 IT 장비를 설치하고 관리하는 고객에게 임대합니다. 일반적으로 아시아의 고객 및 비즈니스 운영에 더 가깝습니다. GDS는 Synergy Research Group Inc.에 따르면 미국 다음으로 세계에서 두 번째로 큰 서비스 시장인 중국의 XNUMX대 코로케이션 제공업체 중 하나입니다. 싱가포르는 XNUMX위입니다.
두 회사는 서로 얽혀 있습니다. 기업 신고서에 따르면 2014년 STT GDC의 모회사인 Singapore Technologies Telemedia Pte가 GDS의 지분 40%를 인수했습니다.
Resecurity CEO인 Gene Yoo는 그의 회사가 2021년에 해당 요원 중 한 명이 대만의 정부 목표물을 공격한 중국의 해킹 그룹에 잠입한 후 이 사건을 발견했다고 말했습니다.
Yoo와 문서에 따르면 얼마 지나지 않아 GDS와 STT GDC, 그리고 영향을 받은 소수의 Resecurity 클라이언트에 경고했습니다.
리시큐리티는 지난 XNUMX월 계정에 접근하는 해커를 발견한 뒤 GDS와 STT GDC에 다시 통보했고 당시 중국과 싱가포르 당국에도 알렸다.
두 데이터 센터 운영자는 보안 문제에 대한 알림을 받았을 때 신속하게 대응하고 내부 조사를 시작했다고 말했습니다.
싱가포르 사이버 보안국(Cyber Security Agency)의 셰릴 리(Cheryl Lee) 대변인은 "이 사건을 인지하고 있으며 이 문제에 대해 ST 텔레미디어를 지원하고 있다"고 말했다. 사이버 비상 대응을 처리하는 비정부 조직인 중국 국가 컴퓨터 네트워크 비상 대응 기술팀/조정 센터는 논평을 요청하는 메시지에 응답하지 않았습니다.
GDS는 고객 지원 웹사이트가 침해되었음을 인정하고 2021년에 사이트의 취약점을 조사하고 수정했다고 말했습니다.
회사 성명서에 따르면 "해커의 표적이 된 애플리케이션은 발권 요청, 장비의 물리적 배송 일정 예약, 유지 보수 보고서 검토와 같은 중요하지 않은 서비스 기능에 대한 범위와 정보가 제한되어 있습니다." “응용 프로그램을 통해 이루어진 요청에는 일반적으로 오프라인 후속 조치 및 확인이 필요합니다. 응용 프로그램의 기본 특성을 고려할 때 침해로 인해 고객의 IT 운영에 위협이 되지는 않았습니다.”
STT GDC는 2021년 사건을 접했을 때 외부 사이버 보안 전문가를 초빙했다고 밝혔다. "문제의 IT 시스템은 고객 서비스 티켓팅 도구"이며 "다른 기업 시스템이나 중요한 데이터 인프라와 연결되어 있지 않다"고 회사 측은 밝혔다. .
이 회사는 2021년 고객 서비스 포털이 침해되지 않았으며 Resecurity가 획득한 자격 증명은 “고객 티켓팅 애플리케이션에 대한 사용자 자격 증명의 부분적이고 오래된 목록입니다. 그러한 데이터는 이제 유효하지 않으며 앞으로 보안 위험을 초래하지 않습니다.”
STT GDC의 성명에 따르면 "무단 액세스나 데이터 손실이 관찰되지 않았습니다."
해커가 정보를 어떻게 사용했는지에 관계없이 사이버 보안 전문가들은 이번 절도는 공격자들이 어려운 목표에 침투하기 위한 새로운 방법을 모색하고 있음을 보여준다고 말했습니다.
타사 데이터 센터에 있는 IT 장비의 물리적 보안과 이에 대한 액세스 제어 시스템은 기업 보안 부서에서 종종 간과되는 취약점을 나타냅니다. Harkins는 장비가 "파괴적인 결과를 초래할 수 있습니다."라고 말했습니다.
블룸버그 뉴스가 검토한 문서에 따르면 해커들은 자체 직원과 고객의 직원을 포함하여 GDS에서 3,000명 이상의 사람들과 STT GDC에서 1,000명 이상의 이메일 주소와 비밀번호를 입수했습니다.
해커들은 또한 30,000개 이상의 감시 카메라로 구성된 GDS의 네트워크에 대한 자격 증명을 훔쳤으며 대부분은 "admin" 또는 "admin12345"와 같은 간단한 암호에 의존했습니다. GDS는 카메라 네트워크에 대한 자격 증명 도용 혐의나 암호에 대한 질문에 답변하지 않았습니다.
고객 지원 웹 사이트의 로그인 자격 증명 수는 고객마다 다릅니다. 예를 들어 알리바바에 201개, 아마존에 99개, 마이크로소프트에 32개, 바이두에 16개, 뱅크오브아메리카에 15개, 중국은행에 XNUMX개, 애플에 XNUMX개, 골드만삭스에 XNUMX개가 있었다. 그 문서들. Resecurity의 Yoo는 해커가 고객 서비스 포털에서 회사 계정에 액세스하는 데 유효한 이메일 주소와 암호 하나만 있으면 된다고 말했습니다.
Resecurity와 문서에 따르면 근로자의 로그인 세부 정보를 얻은 다른 회사 중에는 인도의 Bharti Airtel Ltd., Bloomberg LP(Bloomberg News 소유주), ByteDance Ltd., Ford Motor Co., Globe Telecom Inc가 있습니다. . 필리핀, Mastercard Inc., Morgan Stanley, Paypal Holdings Inc., Porsche AG, SoftBank Corp., 호주 Telstra Group Ltd., Tencent Holdings Ltd., Verizon Communications Inc. 및 Wells Fargo & Co.
바이두는 성명에서 “어떤 데이터도 유출됐다고 생각하지 않는다. Baidu는 고객의 데이터 보안을 보장하기 위해 많은 관심을 기울이고 있습니다. 우리는 이와 같은 문제를 면밀히 주시하고 우리 운영의 모든 부분에서 데이터 보안에 대한 새로운 위협에 대해 계속 경계할 것입니다.”
포르쉐 관계자는 "이번 특정 사례에서 위험이 있었다는 징후는 없다"고 말했다. SoftBank 대변인은 중국 자회사가 작년에 GDS 사용을 중단했다고 말했습니다. 관계자는 "중국 현지 기업에서 고객 정보 데이터 유출이 확인되지 않았으며 사업 및 서비스에 영향을 미치지 않았다"고 말했다.
텔스트라 대변인은 "이번 유출로 인한 비즈니스에 대한 영향을 인지하지 못했다"고 말했고, 마스터카드 대변인은 "이 상황을 계속 모니터링하고 있지만 비즈니스에 대한 위험이나 영향을 인식하지 못하고 있다"고 말했다. 우리의 거래 네트워크 또는 시스템.”
텐센트 관계자는 “이번 침해로 비즈니스에 미치는 영향을 인지하지 못했다. 우리는 데이터 센터 시설 운영자가 Tencent 서버에 저장된 데이터에 액세스할 수 없도록 데이터 센터 내부에서 서버를 직접 관리합니다. 우리는 조사 후 IT 시스템과 서버에 대한 무단 액세스를 발견하지 못했으며 안전하고 보안이 유지됩니다.”
Wells Fargo의 대변인은 2022년 XNUMX월까지 백업 IT 인프라에 GDS를 사용했다고 말했습니다. "GDS는 Wells Fargo 데이터, 시스템 또는 Wells Fargo 네트워크에 액세스할 수 없었습니다."라고 회사는 말했습니다. 다른 회사들은 모두 논평을 거부하거나 응답하지 않았습니다.
리시큐리티의 유씨는 지난 XNUMX월 회사의 비밀요원이 해커들에게 그들이 여전히 계정에 접근할 수 있는지를 보여달라고 압력을 가했다고 말했다. 해커들은 XNUMX개 회사의 계정에 로그인하고 GDS 및 STT GDC 온라인 포털의 다른 페이지로 이동하는 것을 보여주는 스크린샷을 제공했다고 그는 말했습니다. Resecurity 덕분에 Bloomberg News는 해당 스크린샷을 검토할 수 있었습니다.
스크린샷과 Resecurity에 따르면 해커들은 GDS에서 중국 경제에서 핵심적인 역할을 하는 중국 중앙은행인 중국 외환 거래 시스템(China Foreign Exchange Trade System)의 계정에 액세스했으며 정부의 주요 외환 및 부채 거래 플랫폼을 운영했습니다. 조직은 메시지에 응답하지 않았습니다.
STT GDC에서 해커들은 인도 전역의 인터넷 제공업체를 연결하는 조직인 National Internet Exchange of India와 인도에 기반을 둔 다른 세 곳(MyLink Services Pvt., Skymax Broadband Services Pvt. 및 Logix InfoSecurity Pvt.)의 계정에 액세스했습니다. 스크린샷이 보여줍니다.
블룸버그에 따르면 인도 국립인터넷거래소(National Internet Exchange of India)는 이 사건에 대해 알지 못한다고 말하며 추가 논평을 거부했습니다. 인도의 다른 조직은 논평 요청에 응답하지 않았습니다.
GDS 관계자는 해커들이 XNUMX월에도 훔친 자격 증명을 사용하여 계정에 액세스하고 있다는 주장에 대해 “최근 해커가 이전 계정 액세스 정보를 사용하여 여러 가지 새로운 공격을 감지했습니다. 우리는 이러한 공격을 차단하기 위해 다양한 기술 도구를 사용했습니다. 지금까지 시스템 취약성으로 인해 해커로부터 새로운 성공적인 침입을 발견하지 못했습니다.”
GDS 담당자는 “우리가 알고 있는 한 명의 고객이 전직 직원이 소유한 이 애플리케이션의 계정 비밀번호 중 하나를 재설정하지 않았습니다. 이것이 바로 최근에 모든 사용자에 대해 비밀번호 재설정을 강제한 이유입니다. 우리는 이것이 고립된 사건이라고 생각합니다. 해커가 우리 보안 시스템을 뚫고 나온 결과가 아닙니다.”
STT GDC는 지난 XNUMX월 "인도 및 태국 지역"의 고객 서비스 포털에 대한 추가 위협에 대한 알림을 받았다고 말했습니다. 회사는 "지금까지 조사한 결과 이러한 고객 서비스 포털에 대한 데이터 손실이나 영향이 없는 것으로 나타났습니다."라고 밝혔습니다.
Yoo에 따르면 XNUMX월 말 GDS와 STT GDC가 고객의 비밀번호를 변경한 후 Resecurity는 해커가 다크 웹 포럼에 영어와 중국어로 판매용 데이터베이스를 게시하는 것을 발견했습니다.
"DB는 고객 정보를 담고 있으며 피싱, 캐비닛 액세스, 주문 및 장비 모니터링, 원격 주문에 사용될 수 있습니다." "타깃 피싱을 누가 도울 수 있습니까?"
블룸버그 비즈니스위크에서 가장 많이 읽은 기사
© 2023 Bloomberg LP
출처: https://finance.yahoo.com/news/hackers-scored-data-center-logins-020028440.html