Hackers têm acesso a credenciais de suporte de data centers na Ásia

Hackers obtiveram credenciais de acesso à data centers na Ásia que atendem algumas das maiores empresas do mundo. Fazem parte dos dados roubados endereços de e-mail e senhas para sites de suporte de duas grandes operadoras de data centers da Ásia, a GDS Holdings com sede em Xangai e a ST Telemedia Global Data Centers com sede em Cingapura, de acordo com a Resecurity Inc, que presta serviços de cibersegurança e investigação de hackers.

Segundo matéria da Bloomberg, cerca de 2 mil clientes da GDS e STT GDC foram afetados, entre eles Alibaba, Amazon, Apple, BMW, Goldman Sachs Group, Huawei Technologies, Microsoft e Walmart. Os hackers acessaram as contas de, pelo menos, cinco deles, entre eles a principal plataforma de negociação de câmbio e dívida da China e outras quatro da Índia, segundo a Resecurity, que disse ter se infiltrado no grupo de hackers.

As duas operadoras afirmam que as credenciais roubadas não representam riscos para os sistemas de TI ou dados dos clientes. No entanto, a Resecurity e executivos das quatro grandes empresas norte-americanas afetadas disseram que o roubo dessas credenciais são um perigo incomum e sério, principalmente porque os sites de suporte costumam controlar quem tem permissão para acessar os equipamentos de TI hospedados nos data centers.

A matéria da Bloomberg destaca que os hackers tiveram acesso às credenciais de login por mais de um ano antes de colocá-las à venda na Dark Web em janeiro de 2023 por US$ 175 mil. Segundo a Resecurity, endereços de e-mail e senhas roubados podem ter sido usados pelos hackers para acessar contas de clientes da GDS e da ST Telemedia em janeiro, quando as duas operadores de data centers forçaram clientes a redefinir senhas.

Em seu blog, a Resecurity afirma que notificou várias operadoras de data centers sobre atividades cibernéticas mal-intencionadas. O primeiro alerta foi enviado em setembro de 2021, com notas de atualização ao longo de 2022 e janeiro de 2023. Ciberataques recentes a provedores de serviços de nuvem (CSPs) e provedores de serviços gerenciados (MSPs) tentam explorar vulnerabilidades na cadeia de suprimentos de segurança cibernética visando roubar dados confidenciais das empresas-alvo. Data centers são potenciais vítimas dos invasores por serem um elemento relevante na cadeia corporativa de suprimentos, destaca a Resecurity.

Os alvos prováveis dos agentes são sistemas de helpdesk e de atendimento a clientes, aplicações de gerenciamento de tíquetes e portais de suporte. Equipamentos também são visados, entre eles TVs de circuito fechado e câmeras. Contas de e-mail pertencentes às equipes de TI dos data centers e seus clientes também são potenciais alvos.

A Resecurity prevê que invasões e outras atividades cibernéticas mal-intencionadas relacionadas a data centers e respectivos clientes devem crescer no futuro. É preciso contar com medidas adequadas para mitigar os vetores de ataque em toda a cadeia de suprimentos de IT e OT. Também é crucial manter uma comunicação transparente com fornecedores sobre possíveis incidentes de cibersegurança envolvendo contas de clientes e dados associados.

Segurança dos data centers

Especialistas em cibersegurança alertam que agentes mal-intencionados estão burlando as técnicas de proteção tradicionais dos data centers e que, por isso, é preciso acompanhar a evolução dos riscos nesses ambientes.

Em particular, John Dwyer, chefe de pesquisa da IBM Security X-Force, prevê que os criminosos cibernéticos devem se voltar mais especificamente para as tecnologias MFA e EDR usadas para autenticação multifator e detecção e resposta em endpoints, respectivamente. Diante desse desafio, administradores de segurança dos data centers precisarão ser mais proativos e se antecipar contra invasores que estão conseguindo contornar os sistemas de MFA não resistentes a phishing e aprimorar as técnicas de evasão da EDR.

Além disso, não se pode esquecer da segurança física dos data centers. Tecnologias operacionais (OT) indispensáveis para esses ambientes também são vulneráveis a ataques. Sistemas de gerenciamento dessas infraestruturas físicas estão expostos na Internet, abrindo caminho para que invasores manipulem sistemas de resfriamento e provoquem incidentes de superaquecimento dos servidores, por exemplo. Também podem barrar processos de backup desligar no-breaks.

Além disso, os data centers de hoje usam amplamente dispositivos inteligentes e conectados à Internet e sensores de IoT em diversas atividades de controle, desde monitoramento de temperatura a sistemas de vigilância e controle de acesso. Todos eles são potenciais fontes de vulnerabilidade e não podem ser negligenciados quando se fala de segurança dos data centers. Esses dispositivos podem ser sequestrados e usados em ataques cibernéticos.