Cybercriminelen hebben eind januari gestolen inloggegevens van grote bedrijven te koop gezet. De data is afkomstig uit een aantal Aziatische datacenters van de bedrijven.
Dat ontdekte securityspecialist Resecurity in een sinds september 2021 lopend onderzoek. Volgens het onderzoek zijn verschillende datacenteraanbieders, leveranciers van clouddiensten en MSP’s in Azië getroffen door een langdurige cyberaanval. De cybercriminelen, afkomstig uit China en enkele andere Aziatische landen, hebben het voorzien op het stelen van inloggegevens en andere gevoelige data van (grote) klanten.
Bloomberg schrijft dat de getroffen datacenteraanbieders GDS Holdings uit Shanghai en de ST Telemedia Global Datacenters uit Singapore zijn. Bedrijven waarvan inloggegevens en data zou zijn ontvreemd, zijn onder meer Alibaba, Amazon, Apple, BMW, Goldman Sachs, Huawei, Microsoft en Walmart.
Meerjarige aanvallen
De aanvallen hebben een langdurige ontwikkeling, zo ontdekten de securityexperts van Resecurity. In september 2021 werden de eerste kwaadaardige cyberactiviteiten gesignaleerd. Tijdens deze eerste aanval slaagden de cybercriminelen erin een lijst van CCTV-camera’s in handen te krijgen, gevolgd door inloggegevens van operationele medewerkers van de datacenters zelf en medewerkers van klanten die in de datacenters actief zijn. Daarnaast kregen zij data over gekochte diensten en uitgerolde apparatuur in handen. Bovendien toonden zij interesse is de beschikbaarheid van een ‘remote hands service (RHS) waarmee klanten op afstand hun servers in het datacenter kunnen beheren en daarvoor problemen oplossen.
In de tweede golf aanvallen, in heel 2022 uitgevoerd, slaagden de cybercriminelen er opnieuw in een klantendatabase met meer dan duizend records te stelen bij een datacenterbedrijf uit Singapore. Deze aanval werd wel ontdekt en uiteindelijk afgeslagen.
De derde en voorlopig laatste episode van deze aanval vond recent plaats. De onderzoekers ontdekten dat de cybercriminelen de gestolen inloggegevens en andere data van de grote klanten van de getroffen datacenterbedrijven op het darkweb te koop zijn gezet. Meer concreet gaat het daarbij om het RAMP-platform dat vooral wordt gebruikt door Initial Access Brokers (IAB’s) en ransomwarecriminelen.
Impact onbekend
De onderzoekers geven aan dat zij niet de impact van deze grootschalige diefstal van inloggegevens en andere data kunnen inschatten. Door nu in de publiciteit te treden over deze aanvallen op de genoemde datacenteraanbieders hopen zij de eventuele gevolgen te beperken, maar ook om meer awareness voor dit soort aanvallen te kweken. Inmiddels zijn naast de getroffen bedrijven, ook diverse CERT’s van de betrokken landen over de aanval geïnformeerd.