Один из крупнейших в мире хостеров и регистраторов доменных имен, GoDaddy, сообщает о новой атаке на свою инфраструктуру. Хуже того, в компании пришли к выводу, что это лишь один из серии связанных инцидентов. Оказывается, неизвестные злоумышленники несколько лет имели доступ к системам компании, смогли установить малварь на ее серверы и украли исходный код.
Согласно отчету, поданному компанией в Комиссию по ценным бумагам и биржам США, нарушение безопасности было обнаружено в декабре 2022 года, когда клиенты стали сообщать, что их сайты использовались для перенаправления посетителей на случайные домены. После проведения расследования, специалисты GoDaddy пришли к неутешительным выводам:
«Основываясь на нашем расследовании, мы полагаем, что эти инциденты являются частью многолетней кампании опытной группы злоумышленников, которая, среди прочего, установила вредоносное ПО в наши системы и получила фрагменты исходного кода, связанные с некоторыми сервисами в GoDaddy», — пишут представители компании.
Выяснилось, что в декабре 2022 года злоумышленник получили доступ к хостинговым серверам cPanel , которые клиенты используют для управления сайтами, размещенными у GoDaddy. Затем хакеры установили некую малварь на серверы, и вредонос «периодически перенаправлял случайные клиентские сайты на вредоносные».
Кроме того, сообщается, что инциденты, датированные ноябрем 2021 года и мартом 2020 года так же были связаны с этими злоумышленниками.
Напомню, что в 2021 году стало известно о странной компрометации 1,2 млн сайтов, работающих на базе WordPress. Все пострадавшие ресурсы хостились у GoDaddy, и тогда в компании заявляли, что произошел взлом и утечка данных: атакующие получили доступ к email-адресам всех затронутых клиентов, их паролям администратора в WordPress, учетным данным от sFTP и баз данных, а также приватным ключам SSL.
В 2020 году GoDaddy уведомила 28 000 клиентов о том, что в октябре 2019 года злоумышленники использовали их учетные данные для входа в хостинговый аккаунт и подключения к их учетной записи через SSH.
Теперь в GoDaddy говорят, что были обнаружены дополнительные доказательства связи этих злоумышленников с более масштабной вредоносной кампанией, направленной против других хостинговых компаний по всему миру и длящейся уже много лет.
«У нас есть доказательства, и правоохранительные органы это подтверждают, что этот инцидент связан с опытной и организованной группировкой, нацеленной на хостинговые компании, такие как GoDaddy. Согласно полученной нами информации, их наиболее вероятной целью является заражение сайтов и серверов вредоносными программами для проведения фишинговых кампаний, распространения вредоносных программ и совершения других вредоносных действий», — гласит заявление компании.
Известно, что в настоящее время GoDaddy привлекла к продолжающемуся расследованию сторонних ИБ-экспертов, а также сотрудничает с правоохранительными органами по всему миру для выявления первоисточника этих многолетних атак.