Кілька років тому хакери зламали одного з найбільших реєстраторів доменів планети – сервіс GoDaddy, який обслуговує 84 млн доменів, 22 млн користувачів і розміщує мільйони сайтів. Про злам стало відомо лише в грудні 2022 року, а весь цей час до цього хакери мали доступ до даних мільйонів користувачів, зокрема, їхні адреси пошти, паролі до WordPress, доступи до баз даних, ключі шифрування та інше. Злам відбувся через вразливість у cPanel, системи керування хостингом, це одна з кількох основних подібних систем, що використовуються на мільйонах сайтів.

Гігант вебхостингу GoDaddy стверджує, що він зазнав зламу, коли невідомі зловмисники вкрали вихідний код і встановили зловмисне програмне забезпечення на його серверах після того, як зламали систему керування хостингом cPanel під час багаторічної атаки.

У той час як GoDaddy виявила дірку у безпеці після повідомлень клієнтів на початку грудня 2022 року про те, що їхні сайти використовувалися для перенаправлення на випадкові домени, зловмисники насправді мали доступ до мережі компанії протягом кількох років.

Грунтуючись на нашому розслідуванні, ми вважаємо, що ці інциденти є частиною багаторічної кампанії складної групи атак, яка, серед іншого, встановила зловмисне програмне забезпечення в наших системах і отримала фрагменти коду, пов’язані з деякими службами в GoDaddy

зазначили в заяві хостингу

Компанія каже, що попередні злами, виявлені в листопаді 2021 року та березні 2020 року, також пов’язані з цією багаторічною кампанією.

Інцидент у листопаді 2021 року призвів до витоку даних 1,2 мільйона клієнтів СМС WordPress після того, як зловмисники зламали хостингове середовище GoDaddy WordPress, використовуючи зламаний пароль.

Вони отримали доступ до електронних адрес усіх постраждалих клієнтів, їхніх паролів адміністратора WordPress, облікових даних sFTP і бази даних, а також закритих ключів SSL-підмножини активних клієнтів.

Після витоку в березні 2020 року GoDaddy попередив 28 000 клієнтів про те, що зловмисник використав облікові дані їхнього облікового запису вебхостинг в жовтні 2019 року для підключення до їхнього облікового запису хостингу через SSH.

Зараз GoDaddy співпрацює з зовнішніми експертами з кібербезпеки та правоохоронними органами по всьому світу в рамках поточного розслідування першопричини зламу. GoDaddy каже, що також знайшов додаткові докази зв’язку загроз із ширшою кампанією, спрямованою на інші хостингові компанії по всьому світу протягом багатьох років.

У нас є докази, і правоохоронні органи підтвердили, що цей інцидент був здійснений досвідченою та організованою групою, націленою на такі хостингові служби, як GoDaddy. Згідно з інформацією, яку ми отримали, їх очевидною метою є зараження вебсайтів і серверів шкідливим програмним забезпеченням для фішингових кампаній, розповсюдження шкідливого програмного забезпечення та інших зловмисних дій

Йдеться в заяві хостингової компанії.

Автор: Юрій Гончаренко

Залишити відповідь