Os criminosos têm como alvo operadores de datacenter em Singapura e na China, acessando suas câmeras de CFTV, acessando suas listas de inquilinos e, em seguida, atacando esses clientes. «Resecurity identificou vários atores na Dark Web potencialmente originários da Ásia, eles conseguiram acesso adquirido aos registros do ‘cliente’ e os extraíram de um ou vários bancos de dados relacionados a aplicativos e sistemas específicos que são aproveitados por várias organizações de datacenter», os boffins de segurança ‘ descrição dos estados incidentes. Esse movimento lateral incluiu o acesso a uma lista de câmeras CCTV do operador do datacenter «com identificadores de fluxo de vídeo associados usados para monitorar ambientes de datacenter, bem como informações de credenciais relacionadas a operadores e clientes». Os criminosos coletaram as credenciais dos clientes e começaram a trabalhar em seus painéis de controle «para coletar informações sobre os representantes dos clientes corporativos que gerenciam as operações no datacenter, a lista de serviços adquiridos e os equipamentos implantados».
Os invasores também tentaram explorar o serviço de mãos remotas oferecido pelos operadores do datacenter – serviços que permitem que a equipe do datacenter realize manutenção física e de software do kit dos inquilinos. «O ator conseguiu comprometer uma das contas de e-mail internas usadas para registrar os visitantes – que poderiam ser usadas para espionagem cibernética ou outros fins maliciosos» porque «as informações sobre os visitantes podem revelar informações importantes sobre a equipe exata responsável pelas operações do datacenter do lado do cliente». Depois que um invasor sabe quem tem permissão para visitar um datacenter, proteger as credenciais dessa pessoa presumivelmente aumenta a lista de tarefas. Esse esforço rendeu detalhes dos inquilinos do datacenter e potencialmente permitiu que os invasores solicitassem serviços de mãos remotas e movimentação de materiais dentro do datacenter.
A Resecurity também detectou uma ação contra uma organização sediada nos EUA que diz operar no «campo de datacenter neutro da operadora» e que «era cliente de um dos datacenters afetados anteriormente no exterior». Surpreendentemente, quando a Resecurity entrevistou clientes do datacenter de Cingapura, foi dito que eles não foram informados do incidente. Os operadores de datacenter certamente representam um alvo igualmente tentador.
Fonte leia mais: https://www.theregister.com/2023/02/23/datacenter_operators_in_china_singapore/?td=rt-3a
