Hackerangriff: Zugangsdaten für asiatische Rechenzentren erbeutet

Cyberangriffe sind nach wie vor eine ernsthafte Bedrohung. Erst kürzlich haben sich Hacker bei Zugangsdaten von Rechenzentren in Asien verschafft – und damit Daten von einigen der weltgrößten Unternehmen erbeutet. Gestohlen wurden unter anderem Mailadressen und Passwörter für die Support-Websites von zwei großen asiatischen Rechenzentrumsbetreibern. Bei den Unternehmen handelt es sich laut Aussage von Resecurity Inc (einem Anbieter von Ermittlungsdiensten für Cybersecurity und Hacking) um GDS Holdings aus Shanghai und ST Telemedia Global Data Centers aus Singapur.

Einem Bericht von Bloomberg zufolge waren auch etwa 2000 Kunden von GDS und STT betroffen – darunter Alibaba, Amazon, Apple, BMW, Goldman Sachs Group, Huawei Technologies, Microsoft und Walmart. Die Hacker verschafften sich Zugang zu den Konten von mindestens fünf dieser Unternehmen. Resecutity hat nach eigenen Angaben wiederum die Hackergruppe infiltriert und dabei auch Anmeldedaten von Chinas führender Plattform für den Devisen- und Schuldenhandel sowie vier weiteren Organisationen aus Indien entdeckt.

Nach Angaben der beiden Unternehmen stellen die gestohlenen Daten kein Risiko für die IT-Systeme oder die Kundendaten dar. Resecurity sowie die Führungskräfte der vier betroffenen US-Großunternehmen bewerten die Lage jedoch anders: Sie sehen den Diebstahl dieser Zugangsdaten als eine seltene und ernsthafte Gefahr an – denn die Support-Sites kontrollieren, wer auf die IT-Geräte zugreifen darf, die in den Rechenzentren gehostet werden.

Der Bericht von Bloomberg hebt hervor, dass die Hacker mehr als ein Jahr lang Zugang zu den Anmeldedaten hatten, bevor sie diese im Januar 2023 für 175.000 Dollar im Dark Web zum Verkauf anboten. Laut Resecurity könnten die Hacker die gestohlenen E-Mailadressen und Passwörter auch verwendet haben, um im Januar auf die Kundenkonten bei GDS und ST Telemedia zuzugreifen. Zu diesem Zeitpunkt forderten die beiden Rechenzentrumsbetreiber ihre Kunden dazu auf, ihre Passwörter zurückzusetzen.

In seinem Blog berichtete Resecurity, mehrere Betreiber von Rechenzentren über die gefährlichen Cyber-Aktivitäten informiert zu haben. Die ersten Warnungen wurden demnach bereits im September 2021 verschickt – weitere Updates folgten im Lauf des Jahres 2022 und im Januar 2023. Bei den jüngsten Cyberangriffen auf Cloud-Service-Provider (CSPs) und Managed-Service-Provider (MSPs) wurde versucht, die Schwachstellen in der Cybersicherheits-Lieferkette auszunutzen. Das Ziel: Der Diebstahl von vertraulichen Daten der Unternehmen. Dabei betont Resecurity, dass Rechenzentren als wichtiges Element in der Unternehmenslieferkette generell beliebte Zielscheiben für Angreifer darstellen.

Dabei haben es die Aggressoren wahrscheinlich auf Helpdesk- und Kundenservicesysteme, Ticket-Management-Anwendungen und Support-Portale abgesehen. Aber auch Geräte wie Videoüberwachungsanlagen und Kameras oder E-Mail-Konten von Kunden und IT-Mitarbeitern in Rechenzentren sind potenzielle Ziele.

Laut Prognose von Resecurity sollen diese Vorfälle durch heimtückische Cyberattacken auf Rechenzentren und deren Kunden künftig weiter zunehmen. Deshalb müssen frühzeitig angemessene Maßnahmen ergriffen werden, um die Angriffspunkte in der gesamten IT- und OT-Lieferkette zu minimieren. Zudem sei eine transparente Kommunikation mit Lieferanten hinsichtlich potenzieller Cybersecurity-Vorfälle von großer Bedeutung, um die damit verbundenen Daten zu schützen.

Mehr Sicherheit in Rechenzentren

Auch Experten für Cybersicherheit warnen davor, dass potenzielle Angreifer weiterhin die herkömmlichen Schutzmechanismen der Rechenzentren umgehen werden. Somit sei es notwendig, die Risikoentwicklung in diesen Bereichen zu überwachen.

Nach Ansicht von John Dwyer, Forschungsleiter der IBM Security X-Force, werden sich Cyberkriminelle dabei verstärkt den MFA- und EDR-Technologien zuwenden. Sie kommen vor allem bei der Multifaktor-Authentifizierung bzw. der Endpoint Detection and Response zum Einsatz. Angesichts dieser Entwicklung müssen die Sicherheitsadministratoren von Rechenzentren zukünftig noch proaktiver vorgehen, um den Angreifern einen Schritt voraus zu sein. Nur ist es möglich, die Überlistung von Phishing-resistenten MFA-Systemen zu verhindern und EDR-Umgehungstechniken zu optimieren.

Zugleich darf die physische Sicherheit von Rechenzentren nicht aus dem Fokus geraten – denn die essenziellen Operational Technologies (OT) in diesem Umgebungen sind ebenso anfällig für Angriffe. Und auch Verwaltungssysteme der physischen Infrastruktur sind dem Internet ausgesetzt. So können Angreifer beispielsweise durch die Manipulation der Kühlsysteme Serverüberhitzungen verursachen oder die Abschaltung der UPS-Stromversorgung über Backup-Prozesse verhindern.

Darüber hinaus werden in modernen Rechenzentren intelligente, mit dem Internet verbundene Geräte und IoT-Sensoren im großen Stil für verschiedene Kontrolltätigkeiten eingesetzt: vom Temperatur-Monitoring bis hin zu Überwachungs- und Zugangskontrollsystemen. All diese sind potenzielle Schwachstellen und dürfen nicht übersehen werden, wenn es um die Sicherheit von Rechenzentren geht – denn sie können gekapert und so für Cyberangriffe missbraucht werden.