GoDaddy: Άγνωστοι έκλεψαν πηγαίο κώδικα εφαρμογών και εγκατέστησαν κακόβουλο λογισμικό σε μια επίθεση διαρκείας

Ο γίγαντας της φιλοξενίας ιστοσελίδων GoDaddy αναφέρει ότι υπέστη παραβίαση όπου άγνωστοι επιτιθέμενοι έκλεψαν πηγαίο κώδικα και εγκατέστησαν κακόβουλο λογισμικό στους διακομιστές του, αφού παραβίασαν το περιβάλλον κοινής φιλοξενίας cPanel σε μια πολυετή επίθεση.

Ενώ ο GoDaddy ανακάλυψε την παραβίαση ασφαλείας μετά από αναφορές πελατών στις αρχές Δεκεμβρίου 2022 ότι οι ιστότοποί τους χρησιμοποιούνταν για ανακατεύθυνση σε τυχαίους τομείς, οι επιτιθέμενοι είχαν πρόσβαση στο δίκτυο της εταιρείας για πολλά χρόνια.

"Βάσει της έρευνάς μας, πιστεύουμε ότι τα περιστατικά αυτά αποτελούν μέρος μιας πολυετούς εκστρατείας από μια εξελιγμένη ομάδα απειλών που, μεταξύ άλλων, εγκατέστησε κακόβουλο λογισμικό στα συστήματά μας και απέκτησε κομμάτια κώδικα που σχετίζονται με ορισμένες υπηρεσίες εντός της GoDaddy", ανέφερε η εταιρεία φιλοξενίας σε μια κατάθεση στην SEC.

Η εταιρεία αναφέρει ότι οι προηγούμενες παραβιάσεις που αποκαλύφθηκαν τον Νοέμβριο του 2021 και τον Μάρτιο του 2020 συνδέονται επίσης με αυτή την πολυετή εκστρατεία.

Το περιστατικό του Νοεμβρίου 2021 οδήγησε σε παραβίαση δεδομένων που επηρέασε 1,2 εκατομμύρια πελάτες του Managed WordPress, αφού οι επιτιθέμενοι παραβίασαν το περιβάλλον φιλοξενίας WordPress της GoDaddy χρησιμοποιώντας έναν παραβιασμένο κωδικό πρόσβασης.

Απέκτησαν πρόσβαση στις διευθύνσεις ηλεκτρονικού ταχυδρομείου όλων των επηρεαζόμενων πελατών, στους κωδικούς πρόσβασης WordPress Admin, στα διαπιστευτήρια sFTP και βάσης δεδομένων και στα ιδιωτικά κλειδιά SSL ενός υποσυνόλου ενεργών πελατών.

Μετά την παραβίαση τον Μάρτιο του 2020, η GoDaddy ειδοποίησε 28.000 πελάτες ότι ένας εισβολέας χρησιμοποίησε τα διαπιστευτήρια του λογαριασμού φιλοξενίας ιστού τους τον Οκτώβριο του 2019 για να συνδεθεί στον λογαριασμό φιλοξενίας τους μέσω SSH.

Η GoDaddy συνεργάζεται τώρα με εξωτερικούς εμπειρογνώμονες εγκληματολογίας κυβερνοασφάλειας και υπηρεσίες επιβολής του νόμου παγκοσμίως στο πλαίσιο μιας συνεχιζόμενης έρευνας για την αιτία της παραβίασης.

Η GoDaddy αναφέρει ότι βρήκε επίσης πρόσθετα στοιχεία που συνδέουν τους δράστες της απειλής με μια ευρύτερη εκστρατεία που στόχευε άλλες εταιρείες φιλοξενίας παγκοσμίως κατά τη διάρκεια των ετών.

"Έχουμε αποδείξεις, και οι αρχές έχουν επιβεβαιώσει, ότι το περιστατικό αυτό πραγματοποιήθηκε από μια εξελιγμένη και οργανωμένη ομάδα που στοχεύει υπηρεσίες φιλοξενίας όπως η GoDaddy", ανέφερε η εταιρεία φιλοξενίας σε δήλωσή της.

"Σύμφωνα με τις πληροφορίες που έχουμε λάβει, ο προφανής στόχος τους είναι να μολύνουν ιστότοπους και διακομιστές με κακόβουλο λογισμικό για εκστρατείες phishing, διανομή κακόβουλου λογισμικού και άλλες κακόβουλες δραστηριότητες".

Η GoDaddy είναι ένας από τους μεγαλύτερους καταχωρητές domains και παρέχει επίσης υπηρεσίες φιλοξενίας σε πάνω από 20 εκατομμύρια πελάτες παγκοσμίως.