網(wǎng)絡安全服務商Resecsecurity公司表示，在過去一年半的時間里，該公司已經(jīng)觀察到針對全球多個國家和地區(qū)的多個數(shù)據(jù)中心的網(wǎng)絡攻擊，導致一些全球規(guī)模最大的企業(yè)的信息泄露，并在暗網(wǎng)上發(fā)布訪問憑證。

　　Resecsecurity公司在一篇博客文章中指出:“針對數(shù)據(jù)中心攻擊的惡意網(wǎng)絡活動在供應鏈網(wǎng)絡安全方面開創(chuàng)了重要的先例。我們預計網(wǎng)絡攻擊者將會增加針對數(shù)據(jù)中心及其客戶相關的惡意網(wǎng)絡活動。”

　　Resecsecurity公司并沒有透露受到攻擊的大型企業(yè)的名稱，但根據(jù)彭博社的一篇報道，網(wǎng)絡攻擊者竊取了包括阿里巴巴、亞馬遜、蘋果、寶馬、高盛、華為、微軟和沃爾瑪在內(nèi)的大型公司的數(shù)據(jù)中心訪問憑證。彭博社表示，已經(jīng)查閱了Resecsecurity公司調(diào)查的與該惡意活動有關的文件。

　　Resecsecurity公司在2021年9月首次發(fā)出警告，網(wǎng)絡攻擊者將發(fā)動針對數(shù)據(jù)中心的惡意攻擊，并在2022年和2023年1月進一步發(fā)布了另外兩次惡意攻擊事件。該公司表示，此次惡意攻擊的目標是從數(shù)據(jù)中心主要客戶的企業(yè)和政府機構那里竊取敏感數(shù)據(jù)。

　　客戶記錄被發(fā)布到暗網(wǎng)上

　　最近，在各種惡意攻擊中竊取的與大型企業(yè)數(shù)據(jù)中心有關的訪問憑證被發(fā)布在地下論壇breach上，并被研究人員檢測到。其特定數(shù)據(jù)緩存的一些片段也被各種威脅行為者在Telegram上共享。

　　Resecsecurity公司在暗網(wǎng)上發(fā)現(xiàn)了幾個來自亞洲的網(wǎng)絡攻擊者，他們在行動過程中設法訪問了客戶記錄，并從一個或多個與幾個企業(yè)數(shù)據(jù)中心使用的特定應用程序和系統(tǒng)相關的數(shù)據(jù)庫中竊取了這些記錄。

　　在其中一個案例中，最初的訪問權限可能是通過與其他應用程序和系統(tǒng)集成的易受攻擊的幫助臺或票據(jù)管理模塊獲得的，這能夠使網(wǎng)絡攻擊者進行橫向移動。

　　Resecsecurity公司表示，網(wǎng)絡攻擊者能夠提取一份帶有相關視頻流標識符的閉路電視攝像頭列表，用于監(jiān)控數(shù)據(jù)中心運營環(huán)境，以及與數(shù)據(jù)中心IT人員和客戶相關的憑據(jù)信息。

　　在收集了憑據(jù)之后，網(wǎng)絡攻擊者執(zhí)行主動探測，以收集有關管理數(shù)據(jù)中心運營的企業(yè)客戶代表、購買的服務列表和部署的設備的信息。

　　惡意活動以客戶端驗證數(shù)據(jù)為目標

　　Resecsecurity公司聲稱，2021年9月，當該公司的研究人員首次觀察到這一惡意活動時，網(wǎng)絡攻擊者能夠從2000多個數(shù)據(jù)中心的客戶那里收集各種記錄。這些包括憑據(jù)、電子郵件、移動電話和身份證信息等，可能用于某些客戶端驗證機制(例如在2023年1月24日，受影響的公司要求客戶更改密碼)。

　　該公司表示，這名黑客還入侵了一個用于注冊訪問者的內(nèi)部電子郵件賬戶，然后可能被用于網(wǎng)絡間諜活動或其他惡意目的。

　　在2022年觀察到的第二次惡意攻擊活動中，網(wǎng)絡攻擊者能夠從總部位于新加坡的數(shù)據(jù)中心中竊取一個可能包含1210條記錄客戶數(shù)據(jù)庫。

　　第三次惡意攻擊發(fā)生在今年1月，美國的一家企業(yè)是之前受到網(wǎng)絡攻擊影響的數(shù)據(jù)中心之一的客戶。Resecsecurity公司的研究人員說，“與前兩次事件相比，關于這次事件的信息仍然有限，但Resecsecurity公司能夠收集到授權訪問另一個數(shù)據(jù)中心客戶門戶的IT人員使用的多個憑據(jù)。”

　　然后在1月28日，在惡意活動中被盜的數(shù)據(jù)在暗網(wǎng)上一個名為Ramp的地下社區(qū)被出售，該社區(qū)經(jīng)常被初始訪問經(jīng)紀人和勒索軟件組織使用。

　　Resecsecurity公司的研究人表示:“黑客很可能意識到他的行為可能會被檢測到，數(shù)據(jù)的價值可能會隨著時間的推移而下降，這就是將其數(shù)據(jù)實現(xiàn)貨幣化的一個預期步驟的原因。”他補充說，數(shù)據(jù)轉(zhuǎn)儲可能還有其他原因。民族國家行為者經(jīng)常使用這種策略來掩蓋他們的網(wǎng)絡攻擊活動，通常是為了模糊攻擊動機。

　　亞洲的一些數(shù)據(jù)中心受到攻擊

　　雖然Resecsecurity公司并沒有透露被攻擊的數(shù)據(jù)中心運營商的名稱，但彭博社報道稱，新加坡科技電信媒體公司(STTelemedia)全球數(shù)據(jù)中心是受害者之一。

　　據(jù)彭博社報道，這家數(shù)據(jù)中心運營商承認，其客戶的網(wǎng)站在2021年被入侵，但表示客戶的IT系統(tǒng)或數(shù)據(jù)沒有風險。

　　Resecsecurity公司聲稱，在泄露的數(shù)據(jù)中，其中包括全球業(yè)務的金融機構、投資基金、生物醫(yī)學研究公司、技術供應商、電子商務網(wǎng)站、云服務、互聯(lián)服務供應商和內(nèi)容交付網(wǎng)絡公司的數(shù)據(jù)。研究人員稱，這些公司在美國、英國、加拿大、澳大利亞、瑞士、新西蘭和中國設有總部。

　　Resecurity公司還沒有確定已知的APT組織對此次攻擊負責。研究人員指出，受害者可能受到多個不同行動者的影響。

　　此外，Resecsecurity公司表示，選擇RAMP地下社區(qū)作為提供數(shù)據(jù)的市場提供了一些線索。”

　　Resecsecurity公司已與受害方以及美國計算機安全應急響應組(CERT)共享有關惡意活動的信息，該公司還與美國執(zhí)法部門分享了信息，因為這些數(shù)據(jù)中有大量與《財富》500強企業(yè)相關的信息。