Die Security-Firma Resecurity hat am 20. Februar Datensätze von Firmen gefunden, die aus einem Angriff auf Clouddienstleister und Betreiber von Rechenzentren stammen. Es sei nur der jüngste Fund aus einer mehrjährigen Angriffswelle. Der internationale Feldzug läuft laut Resecurity seit Herbst 2021. Damals hatten Security-Forscher der Firma entdeckt, dass Kriminelle Schwachstellen in den Lieferketten suchten.

In einem Nachfolgeportal des berüchtigten "Raidforums" wurden jüngst mehrere Zugänge zu mutmasslich betroffenen Datencenter gepostet. Ein noch vorhandener Eintrag handelt von einem Betreiber, der in 15 Ländern rund 1200 Kunden zählt. Wer hinter der Kampagne steckt, ist bislang nicht bekannt, die jüngsten Veröffentlichungen passen laut Resecurity aber zu den seit 2021 beobachteten Aktivitäten. Noch sei das volle Ausmass der ausgeklügelten Aktivitäten nicht abzuschätzen, schreibt der Security-Spezialist in einem Blogbeitrag, den die 'Netzwoche' entdeckt hat.

Die Angreifer hätten unter anderem eine Liste von Überwachungskameras aus Rechenzentren mitsamt den Videostream-Identifikatoren entwendet. Auch sensible Informationen von Mitarbeitern gehörten zur Beute. Hätten die Kriminellen erstmal Zugang zu Anmeldedaten von Kunden gehabt, hätten sie deren Systeme systematisch ausgeforscht und Daten gestohlen.

Die betroffenen Rechenzentren und Cloud-Anbieter seien informiert worden, so die Resecurity. Die Urheber sind nicht bekannt, aber Gruppen aus Taiwan, Thailand, Vietnam, Brunei und Malaysia sollen versucht haben, zumindest Teile der gestohlenen Daten zu verkaufen. Namen der Opfer nennen die Entdecker nicht, sie halten aber fest, dass diese aus verschiedensten Branchen und Länder stammen – darunter auch weltweit tätige Finanzinstitute und Firmen aus der Schweiz.

Seit den verheerenden Angriffen auf Solarwinds und Kaseya hätten Bedrohungsakteure ihre Taktik "auf eine neue Stufe gehoben", heisst es im Blogbeitrag bedeutungsvoll. Hauptziele seien mittlerweile oftmals Organisationen, die Rechenzentren betreiben würden. Man betrachte dies als Präzedenzfall, der auf eine Zunahme an Angriffen auf RZ-Betreiber hindeute.

Die beliebtesten Angriffsvektoren sind demnach: Helpdesk- und Kundendienst-Systeme, Überwachsungssensoren wie Kameras, Verwaltungssysteme für RZ-Besucher, Remote-Control-Systeme sowie bestimmte Serververwaltungssysteme. Die vollständige Liste und technische Details findet man im Blogbeitrag von Resecurity.