Web barındırma devi, geçen hafta sonlarında bir SEC dosyasında, bilinmeyen bir tehdit aktörünün yıllardır GoDaddy’nin sistemlerinde oturduğunu, kötü amaçlı yazılım yüklediğini, kaynak kodunu çaldığını ve şirketin müşterilerine saldırdığını doğruladı.
Başına dosyalama (yeni sekmede açılır) (aracılığıyla BleepingBilgisayar (yeni sekmede açılır)), saldırganlar GoDaddy’nin cPanel paylaşımlı barındırma ortamını ihlal etti ve bunu daha sonraki saldırılar için fırlatma rampası olarak kullandı. Şirket, bilgisayar korsanlarını “sofistike bir tehdit aktörü grubu” olarak tanımladı.
Grup, müşteriler 2022’nin sonlarında web sitelerine gelen trafiğin başka bir yere yönlendirildiğini bildirmeye başladığında fark edildi.
Önceki olaylara bağlantılar
Şimdi GoDaddy, Mart 2020 ve Kasım 2021’de bildirilen veri ihlallerinin hepsinin bağlantılı olduğuna inanıyor.
Dosyada, “Soruşturmamıza dayanarak, bu olayların, diğer şeylerin yanı sıra sistemlerimize kötü amaçlı yazılım yükleyen ve bunlarla ilgili kod parçaları ele geçiren gelişmiş bir tehdit aktörü grubu tarafından yürütülen çok yıllı bir kampanyanın parçası olduğuna inanıyoruz. GoDaddy içindeki bazı hizmetler”
Kasım 2021 olayı sırasında, saldırganlar tarafından yaklaşık 1,2 milyon müşterisinin kullanıcı verilerine erişildi. Bu, e-posta adresleri ve müşteri numaralarının ifşa olduğu hem etkin hem de etkin olmayan kullanıcıları içeriyordu.
Şirket ayrıca, yeni bir WordPress kurulumu tamamlandıktan sonra oluşturulan orijinal WordPress yönetici şifresinin de açığa çıktığını ve saldırganların bu kurulumlara erişmesini sağladığını söyledi.
GoDaddy ayrıca, aktif müşterilerin sFTP kimlik bilgilerinin ve tüm içeriklerini depolamak için kullanılan WordPress veritabanlarının kullanıcı adlarının ve şifrelerinin ihlalde açığa çıktığını ortaya çıkardı.
Ancak bazı durumlarda, müşterinin SSL özel anahtarları açığa çıktı ve bu anahtar kötüye kullanılırsa, bir saldırganın bir müşterinin web sitesini veya diğer hizmetlerini taklit etmesine izin verebilir.
GoDaddy, müşteri WordPress şifrelerini ve özel anahtarlarını sıfırlamış olsa da, şu anda onlara yeni SSL sertifikaları verme sürecindedir.
İçinde ifade (yeni sekmede açılır) Şubat 2023’te yayınlanan web barındırma devi, harici bir siber güvenlik adli tıp ekibi çalıştırdığını ve konuyu daha fazla araştırmak için dünyanın her yerinden kolluk kuvvetlerini getirdiğini iddia ediyor.
GoDaddy’ye yönelik saldırıların dünya çapındaki web barındırma şirketlerine yönelik daha geniş bir kampanyanın parçası olduğu da artık açık.
“Bu olayın GoDaddy gibi barındırma hizmetlerini hedef alan sofistike ve organize bir grup tarafından gerçekleştirildiğine dair kanıtımız var ve kolluk kuvvetleri bunu onayladı.”
“Aldığımız bilgilere göre, görünürdeki hedefleri, kimlik avı kampanyaları, kötü amaçlı yazılım dağıtımı ve diğer kötü amaçlı faaliyetler için web sitelerine ve sunuculara kötü amaçlı yazılım bulaştırmak.”