Nieznany cyberprzestępca siedział w systemach GoDaddy od lat, instalując złośliwe oprogramowanie, kradnąc kod źródłowy i atakując klientów usług firmy, potwierdził gigant hostingowy w prezentacji przed SEC pod koniec zeszłego tygodnia.
Według zgłoszenia (otwiera się w nowej karcie) (za pośrednictwem BleepingComputer (otwiera się w nowej karcie)) napastnicy włamali się do współdzielonego środowiska hostingowego cPanel firmy GoDaddy i wykorzystali je jako platformę startową dla nowych ataków. Firma opisała hakerów jako „zbiór złożonych aktorów zagrażających”.
Zestaw został ostatecznie złapany, gdy pod koniec XNUMX roku klienci usługi zaczęli zgłaszać, że ruch przychodzący do ich witryn był przekierowywany gdzie indziej.
Linki do poprzednich incydentów
Firma GoDaddy uważa teraz, że naruszenia danych zgłoszone w trzecim miesiącu XNUMX r. i listopadzie XNUMX r. były ze sobą powiązane.
„Na podstawie naszego dochodzenia” – napisał w zgłoszeniu – „uważamy, że incydenty te stanowią część wieloletniej kampanii prowadzonej przez złożoną grupę złośliwych podmiotów, które między innymi instalowały w naszych systemach złośliwe oprogramowanie i zdobywały fragmenty kodu związane z niektórymi usługami w ramach GoDaddy”,
W niefortunnym wypadku z listopada XNUMX r. napastnicy uzyskali dostęp do danych użytkowników około XNUMX miliona klientów ich usług. Dotyczyło to zarówno aktywnych, jak i nieaktywnych użytkowników, z ujawnionymi adresami e-mail i numerami klientów.
Firma twierdziła również, że oryginalny klucz dostępu administratora WP, utworzony po zakończeniu nowej instalacji WP, również został ujawniony, umożliwiając atakującym dostęp do tych instalacji.
Firma GoDaddy odkryła również, że w wycieku ujawniono dane uwierzytelniające sFTP oraz nazwy użytkowników i hasła do baz danych WP, które służą do przechowywania ich treści.
Jednak w niektórych przypadkach prywatne klucze SSL klienta usługi zostały ujawnione iw przypadku nieprawidłowego użycia klucz ten może umożliwić osobie atakującej podszywanie się pod witrynę klienta usługi lub inne usługi.
Chociaż firma GoDaddy przywróciła klucze prywatne i klucze dostępu do WP klientów usługi, obecnie jest w trakcie wydawania im nowych certyfikatów SSL.
W oświadczeniu (otwiera się w nowej karcie) wydanym w lutym XNUMX r. gigant hostingowy twierdzi, że zatrudnił zewnętrzny zespół ds. cyberbezpieczeństwa i wzywa organy ścigania na całym świecie do zaprzestania dalszego badania sprawy.
Teraz jest również jasne, że ataki na GoDaddy były częścią większej kampanii przeciwko firmom hostingowym na całym świecie.
„Mamy dowody, a policja to potwierdziła, że to nieszczęście zostało popełnione przez złożoną i zorganizowaną grupę, która koncentruje się na usługach hostingowych, takich jak GoDaddy”.
„Z otrzymanych informacji wynika, że jego oczywistym celem jest infekowanie witryn i serwerów złośliwym oprogramowaniem na potrzeby kampanii phishingowych, dystrybucji złośliwego oprogramowania i innych złośliwych działań”.