Ein unbekannter Bedrohungsakteur saß mehrere Jahre in den Systemen von GoDaddy, installierte Malware, stahl Quellcode und griff die Kunden des Unternehmens an, hat der Webhosting-Riese bestätigt.
Die Firmen SEC-Einreichung (öffnet in neuem Tab) (über Piepender Computer (öffnet in neuem Tab)) brachen die Angreifer in die Shared-Hosting-Umgebung cPanel von GoDaddy ein und nutzten diese als Startrampe für weitere Angriffe. Das Unternehmen beschrieb die Hacker als „ausgefeilte Gruppe von Bedrohungsakteuren“.
Die Gruppe wurde schließlich Ende 2022 entdeckt, als Kunden anfingen zu berichten, dass der auf ihre Websites eingehende Datenverkehr an eine andere Stelle umgeleitet wurde.
Links zu früheren Vorfällen
GoDaddy geht nun davon aus, dass die im März 2020 und November 2021 gemeldeten Datenschutzverletzungen alle miteinander verbunden waren.
„Basierend auf unserer Untersuchung“, heißt es in der Akte, „glauben wir, dass diese Vorfälle Teil einer mehrjährigen Kampagne einer hochentwickelten Gruppe von Bedrohungsakteuren sind, die unter anderem Malware auf unseren Systemen installiert und damit zusammenhängende Codeteile erhalten hat einige Dienste innerhalb von GoDaddy”,
Während des Vorfalls im November 2021 griffen die Angreifer auf die Benutzerdaten von rund 1,2 Millionen seiner Kunden zu. Dies umfasste sowohl aktive als auch inaktive Benutzer, wobei E-Mail-Adressen und Kundennummern offengelegt wurden.
Das Unternehmen sagte auch, dass das ursprüngliche WordPress-Admin-Passwort, das nach Abschluss einer neuen Installation von WordPress erstellt wurde, ebenfalls offengelegt wurde, wodurch Angreifer Zugriff auf diese Installationen erhielten.
GoDaddy enthüllte auch, dass aktive Kunden ihre sFTP-Anmeldeinformationen sowie die Benutzernamen und Passwörter für ihre WordPress-Datenbanken, die zum Speichern aller ihrer Inhalte verwendet werden, bei der Verletzung offengelegt hatten.
In einigen Fällen wurden jedoch die privaten SSL-Schlüssel des Kunden offengelegt, und bei Missbrauch könnte dieser Schlüssel es einem Angreifer ermöglichen, sich als die Website eines Kunden oder andere Dienste auszugeben.
Während GoDaddy die WordPress-Passwörter und privaten Schlüssel von Kunden zurückgesetzt hat, ist es derzeit dabei, ihnen neue SSL-Zertifikate auszustellen.
In einem Stellungnahme (öffnet in neuem Tab) veröffentlicht im Februar 2023, behauptet der Webhosting-Riese, ein externes Team für Cybersicherheitsforensik eingestellt und Strafverfolgungsbehörden aus der ganzen Welt hinzugezogen zu haben, um die Angelegenheit weiter zu untersuchen.
Es ist jetzt auch klar, dass Angriffe auf GoDaddy Teil einer umfassenderen Kampagne gegen Webhosting-Unternehmen auf der ganzen Welt waren.
„Wir haben Beweise und die Strafverfolgung hat bestätigt, dass dieser Vorfall von einer raffinierten und organisierten Gruppe begangen wurde, die es auf Hosting-Dienste wie GoDaddy abgesehen hat“,
„Nach Informationen, die wir erhalten haben, besteht ihr offensichtliches Ziel darin, Websites und Server mit Malware für Phishing-Kampagnen, Malware-Verbreitung und andere böswillige Aktivitäten zu infizieren.“