圈小蛙

互联网提供商GoDaddy称其遭受持续多年的黑客攻击,黑客窃取了源代码,安装了恶意软件

网络托管巨头GoDaddy表示,在持续多年的攻击中,未知的攻击者在攻破其cPanel共享托管环境后,盗取了源代码,并在其服务器上并安装了恶意软件。

虽然GoDaddy在2022年12月初客户报告他们的网站被用来重定向到随机域名后发现了该安全漏洞,但攻击者多年来一直在访问公司的网络。

“根据我们的调查,我们认为这些事件是一个复杂的威胁行为者团体(黑客组织)多年活动的一部分,除此以外,他们在我们的系统上安装了恶意软件,并获得了与GoDaddy内部一些服务相关的代码。”这家托管公司在提交给美国证券交易委员会的文件中说。

该公司表示,之前在2021年11月和2020年3月披露的入侵事件也与这一多年活动有关。

在攻击者使用泄露的密码破坏GoDaddy的WordPress托管环境后,2021年11月的事件导致数据泄露,影响了120万WordPress托管客户。

他们获得了对所有受影响客户的电子邮件地址、他们的WordPress管理员密码、sFTP和数据库凭据以及一部分活跃客户的SSL私钥的访问权限。

在2020年3月的攻击发生后,GoDaddy曾警告28000名客户,一名攻击者在2019年10月使用他们的虚拟主机账户凭证,通过SSH连接到他们的主机账户。

多年来,安全失误和漏洞导致了一系列涉及GoDaddy托管的大量网站的可疑事件。例如,在2019年,GoDaddy的域名系统服务配置错误,使黑客劫持了Expedia、Yelp、Mozilla和其他公司拥有的数十个网站,并利用它们发布威胁要炸毁建筑物和学校的赎金通知。黑客利用的DNS漏洞在三年前就已经曝光了。

同样在2019年,一名研究人员发现了一项活动,该活动利用数百个被泄露的GoDaddy客户账户创建了15000个网站,发布宣传减肥产品和其他商品的垃圾邮件,承诺会有奇迹般的效果。

GoDaddy现在正在与全球范围内的外部网络安全取证专家和执法机构合作,作为正在进行的调查的一部分,以了解该攻击的根本原因。

关联到针对其他主机托管公司的攻击

GoDaddy表示,它还发现了额外的证据,表明威胁行为者与多年来针对全球其他托管公司的更广泛的活动有关。

“我们有证据,执法部门已经证实,这起事件是由一个复杂而有组织的团体实施的,目标是像GoDaddy这样的托管服务,”该托管公司在一份声明中说。

“根据我们收到的信息,他们的明显目标是用恶意软件感染网站和服务器,以进行网络钓鱼活动、恶意软件分发和其他恶意活动。”

GoDaddy公司的声明

2022年12月初,我们开始收到少量的客户投诉,称他们的网站被间歇性重定向。收到这些投诉后,我们进行了调查,发现间歇性重定向发生在我们的cPanel共享主机服务器上托管的看似随机的网站上。GoDaddy无法忽视这些问题,即使是在同一网站上也是如此。

随着调查的继续,我们发现,一个未经授权的第三方获得了对我们cPanel共享主机环境中的服务器的访问权,并安装了恶意软件,导致客户网站的间歇性重定向。我们确认了入侵行为之后,我们立即对情况进行了补救,并实施了安全措施,以努力防止未来的感染。

我们正在与世界各地的多个执法机构以及取证专家合作,以进一步调查此问题。我们有证据表明,执法部门已经证实,这一事件是由一个老练且有组织的团体实施的,目标是GoDaddy这样的托管服务。根据我们收到的信息,他们的明显目标是用恶意软件感染网站和服务器,用于网络钓鱼活动、恶意软件分发和其他恶意活动。

在我们继续监视他们的行为并阻止这个犯罪组织的企图时,我们正在积极收集有关他们的策略和技术的证据和信息,以帮助执法部门。我们在今天早些时候提交的10-K中分享了这些信息。

我们对这一事件可能给我们的任何客户或其网站的访问者带来的任何不便表示歉意。我们正在利用这次事件的教训来加强我们系统的安全,进一步保护我们的客户和他们的数据。

GoDaddy Inc.是一家美国公开交易的互联网域名注册商和网络托管公司,也是全球最大的域名注册商之一,总部位于亚利桑那州坦佩,并在特拉华州注册成立。

截至2021年12月,GoDaddy在全球拥有超过2100万客户 和6600多名员工。该公司以其在电视和报纸上的广告而闻名。

Exit mobile version