Un acteur menaçant inconnu est assis dans les systèmes GoDaddy depuis des années, installant des logiciels malveillants, volant le code source et attaquant les clients du service de l'entreprise, a confirmé le géant de l'hébergement Web dans une présentation devant la SEC à la fin de la semaine dernière.
Selon la présentation (ouvre dans un nouvel onglet) (via BleepingComputer (ouvre dans un nouvel onglet)), les attaquants ont violé l'environnement d'hébergement partagé cPanel de GoDaddy et l'ont utilisé comme rampe de lancement pour de nouvelles attaques. La société a décrit les pirates comme un "ensemble d'acteurs menaçants complexes".
L'ensemble a finalement été capturé lorsque les clients du service ont commencé à signaler fin XNUMX que le trafic arrivant sur leurs sites était redirigé ailleurs.
Liens vers les incidents précédents
GoDaddy pense maintenant que les violations de données signalées au cours du troisième mois de XNUMX et de novembre XNUMX étaient toutes liées.
"Sur la base de notre enquête", écrit-il dans le dossier, "nous pensons que ces incidents font partie d'une campagne pluriannuelle menée par un ensemble complexe d'acteurs malveillants qui, entre autres choses, ont installé des logiciels malveillants sur nos systèmes et obtenu des extraits de code liés à certains services au sein de GoDaddy",
Lors de l'incident de novembre XNUMX, les attaquants ont accédé aux données d'utilisateur d'environ XNUMX million de leurs clients de service. Cela comprenait à la fois les utilisateurs actifs et inactifs, avec des adresses e-mail et des numéros de client exposés.
La société a également affirmé que la clé d'accès d'origine de l'administrateur WP, créée après la fin d'une nouvelle installation de WP, était également exposée, permettant aux attaquants d'accéder à ces installations.
GoDaddy a également découvert que les clients actifs du service avaient leurs informations d'identification sFTP, leurs noms d'utilisateur et leurs mots de passe pour leurs bases de données WP, qui sont utilisées pour stocker leur contenu, exposés dans la fuite.
Cependant, dans certains cas, les clés SSL privées du client de service ont été exposées et, si elles sont utilisées de manière incorrecte, cette clé pourrait permettre à un attaquant d'usurper l'identité du site d'un client de service ou d'autres services.
Bien que GoDaddy ait rétabli les clés privées et les clés d'accès WP des clients du service, il est actuellement en train de leur délivrer de nouveaux certificats SSL.
Dans une déclaration (ouvre dans un nouvel onglet) publiée en février XNUMX, le géant de l'hébergement Web affirme avoir employé une équipe externe de criminalistique de la cybersécurité et appelle les forces de l'ordre du monde entier à arrêter d'étudier l'affaire plus avant.
Il est également désormais clair que les attaques contre GoDaddy faisaient partie d'une campagne plus large contre les sociétés d'hébergement Web à travers le monde.
"Nous avons des preuves, et la police l'a confirmé, que cette mésaventure a été commise par un groupe complexe et organisé qui se concentre sur l'hébergement de services comme GoDaddy."
"Sur la base des informations que nous avons reçues, son objectif apparent est d'infecter des sites et des serveurs avec des logiciels malveillants pour des campagnes de phishing, la distribution de logiciels malveillants et d'autres activités malveillantes."