Неизвестный злоумышленник годами сидел в системах GoDaddy, устанавливая вредоносное ПО, крадя исходный код и атакуя клиентов компании, подтвердил гигант веб-хостинга в отчете SEC в конце прошлой недели.
Согласно регистрация (откроется в новой вкладке) (с помощью Пищит Компьютер (откроется в новой вкладке)), злоумышленники взломали среду общего хостинга GoDaddy cPanel и использовали ее в качестве стартовой площадки для дальнейших атак. Компания описала хакеров как «сложную группу злоумышленников».
В конечном итоге группу заметили, когда в конце 2022 года клиенты начали сообщать, что трафик, поступающий на их веб-сайты, перенаправляется в другое место.
Ссылки на предыдущие инциденты
Теперь GoDaddy считает, что все утечки данных, о которых сообщалось в марте 2020 года и ноябре 2021 года, были связаны между собой.
«Основываясь на нашем расследовании, — говорится в заявлении, — мы считаем, что эти инциденты являются частью многолетней кампании изощренной группы злоумышленников, которая, среди прочего, установила вредоносное ПО в наши системы и получила фрагменты кода, связанные с некоторые услуги в GoDaddy”,
Во время инцидента в ноябре 2021 года злоумышленники получили доступ к пользовательским данным около 1,2 миллиона клиентов. Это включало как активных, так и неактивных пользователей, с открытыми адресами электронной почты и номерами клиентов.
Компания также заявила, что исходный пароль администратора WordPress, созданный после завершения новой установки WordPress, также был раскрыт, что дало злоумышленникам доступ к этим установкам.
GoDaddy также сообщил, что у активных клиентов были свои учетные данные sFTP, а также имена пользователей и пароли для своих баз данных WordPress, которые используются для хранения всего их контента, раскрытого в результате взлома.
Однако в некоторых случаях закрытые ключи SSL клиента были раскрыты, и в случае злоупотребления этот ключ мог позволить злоумышленнику выдать себя за веб-сайт клиента или другие службы.
Хотя GoDaddy сбросила пароли и закрытые ключи WordPress клиентов, в настоящее время они находятся в процессе выдачи им новых SSL-сертификатов.
В заявление (откроется в новой вкладке) опубликованный в феврале 2023 года, гигант веб-хостинга утверждает, что нанял внешнюю группу экспертов по кибербезопасности и привлек правоохранительные органы со всего мира для дальнейшего расследования этого вопроса.
Теперь также ясно, что атаки на GoDaddy были частью более широкой кампании против хостинговых компаний по всему миру.
«У нас есть доказательства, и правоохранительные органы подтвердили, что этот инцидент был совершен сложной и организованной группой, нацеленной на услуги хостинга, такие как GoDaddy», — говорится в сообщении.
«Согласно полученной нами информации, их очевидной целью является заражение веб-сайтов и серверов вредоносными программами для проведения фишинговых кампаний, распространения вредоносных программ и других вредоносных действий».
