Posté le mars 6, 2023 à 7:09
DES HACKERS VOLENT DES IDENTIFIANTS DE CONNEXION DANS DEUX GRANDS CENTRES DE DONNÉES ASIATIQUES
Des hackers ont eu accès aux identifiants de connexion de centres de données situés en Asie. Les centres de données en question sont utilisés par certaines des plus grandes entreprises au monde. Les données volées par les hackers comprennent les adresses électroniques et les mots de passe des sites web d’assistance à la clientèle appartenant à deux des plus grands centres de données d’Asie. La violation de ces deux centres de données aurait affecté environ 2000 clients.
Des hackers volent des identifiants de connexion à des centres de données asiatiques
La violation a été détectée par la société de cybersécurité Resecurity en septembre 2021, mais elle n’a été révélée au public qu’après qu’un hacker a divulgué les identifiants de connexion volés lors de cette attaque dans un forum de piratage. Les hackers ont ensuite utilisé les identifiants volés pour mener des enquêtes sur les utilisateurs, les portails, les services et accéder aux enregistrements de vidéosurveillance.
La société de cybersécurité Resecurity a indiqué que les auteurs de la menace s’étaient infiltrés dans deux des plus grands centres de données d’Asie. Après la violation, les hackers ont divulgué les identifiants de connexion de certaines des plus grandes entreprises mondiales telles qu’Apple, Amazon, Huawei, Samsung et Microsoft. Outre les géants de la technologie, BMW AG et Walmart figurent parmi les autres institutions touchées par la violation.
Des entreprises basées en Asie ont également été touchées, notamment Alibaba Group Holdings Limited et une plateforme de change basée en Chine. La taille importante des entreprises touchées par cette violation montre que les suites de la campagne pourraient être graves.
GDS Holdings, basée à Shanghai, et ST Telemedia Global Data Centers (STT GDC), basée à Singapour, sont les deux sociétés qui exploitent les centres de données infiltrés par les hackers. Dans l’un des incidents, le hacker aurait obtenu un accès par le biais d’un service d’assistance ou en soumettant un ticket d’assistance pour exploiter le système qui a été intégré à d’autres systèmes, permettant ainsi un mouvement latéral.
L’acteur de la menace a obtenu l’accès aux caméras de vidéosurveillance et aux identifiants de connexion des clients et du personnel informatique de l’entreprise. Les hackers ont également utilisé les données de connexion volées pour rechercher les représentants des clients de cette entreprise gérant les centres de données et pour accéder aux informations relatives aux services achetés et à l’équipement déployé.
Les hackers sont aussi passés par les Remote Hands Services (RHS), notamment FreeIPMI, iDRAC et OpenBMC, qui sont utilisés par les clients souhaitant gérer leurs serveurs à distance.
À la suite de cette intrusion, les hackers ont réussi à collecter environ 2 000 enregistrements, qui comprenaient principalement les identifiants de connexion tels que les adresses électroniques, les numéros de téléphone, les cartes d’identité et d’autres informations utilisées pour vérifier les données des clients. Les hackers ont par ailleurs infiltré un compte de messagerie interne utilisé pour l’enregistrement des visiteurs sur la plateforme.
Le piratage a été signalé à l’équipe d’intervention en cas d’urgence informatique du CNCERT/CC, basée en Chine, en janvier de cette année. Les clients concernés ont été contraints de modifier leurs identifiants de connexion.
Les auteurs de la menace auraient volé 1 210 enregistrements de clients de SSTT GDC, un centre de données basé à Singapour. Cette attaque a aussi été menée par le biais d’un exploit sur le helpdesk, le portail de service à la clientèle et le système de gestion des tickets.
Les hackers ont volé les mots de passe de la plateforme de support client et ont ensuite utilisé les identifiants de connexion volés pour s’infiltrer dans le système afin de mener d’autres campagnes de piratage. Par ailleurs, les hackers ont aussi tenté d’accéder à une dizaine d’organisations, l’une d’entre elles étant située en Inde.
La société de cybersécurité Resecurity n’a pas été en mesure de confirmer si ces acteurs de la menace ont réussi à infiltrer les cibles. Selon STT GDC, les tentatives faites par les hackers n’ont pas été couronnées de succès. La société Resecurity note aussi que les clients affectés par la violation sont ceux qui n’ont pas réinitialisé leurs mots de passe.
Les chercheurs ajoutent : « Il n’est pas certain que cet accès ait été possible simplement parce que de nombreux clients n’ont pas modifié leurs mots de passe après l’incident de 2021, qu’il y ait eu un manque de sensibilisation ou de réaction, ou que l’épisode ait pu être interprété comme « nouveau ».
Resecurity a signalé l’incident au CSA SingCERT à Singapour et a partagé les informations avec les autorités chargées de l’application de la loi à Singapour, étant donné que la violation pourrait avoir affecté des entreprises classées au Fortune 500.
Des hackers publient des identifiants de connexion volés sur des forums de piratage informatique
Le hacker a rendu public les identifiants de connexion volés sur un forum de piratage. Selon Resecurity, le hacker aurait d’abord tenté de monnayer les données, mais celles-ci ont perdu de leur valeur après la réinitialisation des mots de passe. D’autre part, la violation pourrait avoir été menée par un hacker parrainé par un État et cherchant à dissimuler son activité.
Resecurity n’a pas été en mesure de confirmer le nombre total de hackers ayant téléchargé les identifiants de connexion qui ont fait l’objet d’une fuite. Un rapport de Bloomberg avait indiqué que ces hackers avaient conservé l’accès aux identifiants de connexion volés pendant plus d’un an, et qu’à l’époque, les identifiants fonctionnaient encore. Ils ont par la suite tenté de vendre les données aux enchères à d’autres hackers, avant de les publier gratuitement.