La violazione dei dati HPE è attualmente sotto esame da parte di Hewlett Packard Enterprise mentre approfondiscono le accuse di una possibile incursione, con un presunto attore di minacce che avrebbe offerto credenziali HPE rubate in vendita su un forum di criminalità informatica. Nonostante le affermazioni relative alla violazione dei dati, HPE ha informato che le indagini non hanno ancora confermato alcuna compromissione della sicurezza e che non è stata avanzata alcuna richiesta di riscatto in relazione all’incidente.
Tutto quello che devi sapere sulla violazione dei dati HPE
Adam R. Bauer, Direttore senior per le comunicazioni globali di HPE, ha comunicato a Computer che dorme:
“Siamo a conoscenza delle affermazioni e stiamo indagando sulla loro veridicità. Al momento non abbiamo trovato prove di un’intrusione, né di alcun impatto sui prodotti o servizi HPE. Non c’è stato alcun tentativo di estorsione”.
Il presunto venditore, conosciuto con il soprannome di IntelBroker, ha fornito un’idea della presunta violazione rilasciando screenshot che raffigurano quelle che secondo lui sono credenziali HPE. Tuttavia, l’origine e la tecnica utilizzata per acquisire tali dati rimangono segrete.
L’individuo dietro la presunta violazione dei dati di HPE ha dichiarato in un noto forum di hacking:
“Oggi vendo i dati che ho preso da Hewlett Packard Enterprise. Più specificamente, i dati includono: accesso CI/CD, registri di sistema, file di configurazione, token di accesso, file HPE StoreOnce (numero di serie garantito, ecc.) e password di accesso. (Sono inclusi anche i servizi di posta elettronica).”
IntelBroker, l’alias utilizzato dall’autore della minaccia in questione, ha già acquisito notorietà per la significativa violazione di DC Health Link. Questa precedente violazione ha comportato la divulgazione di dati personali relativi a membri e personale della Camera dei rappresentanti degli Stati Uniti, innescando successivamente un’udienza del Congresso.
Questa entità è stata anche associata ad altre infrazioni alla sicurezza informatica, inclusa un’intrusione nel sistema Weee! servizio di consegna di generi alimentari e una presunta compromissione di dati riservati da parte della General Electric Aviation, sottolineando ulteriormente la gravità delle accuse di violazione dei dati di HPE.
Gli hacker russi violano gli account di posta elettronica aziendali HPE
L’indagine sulla violazione dei dati di HPE è stata intensificata in seguito alla recente rivelazione di Hewlett Packard Enterprise secondo cui, nel maggio 2023, il loro sistema di posta elettronica Microsoft Office 365 è stato vittima di un’incursione informatica. HPE attribuisce questa violazione a quelli che sospettano siano hacker russi affiliati al gruppo APT29, collegato all’SVR, il servizio di intelligence estero russo.
HPE ha riconosciuto che questi hacker russi sono stati in grado di esfiltrare file di SharePoint e dati pertinenti dalla sua sicurezza informatica e da vari altri dipartimenti. L’intrusione si è estesa all’infrastruttura cloud di HPE, con accessi non autorizzati che sono durati fino a dicembre. È stato allora che HPE è stata informata di un’altra violazione all’interno del suo sistema di posta elettronica basato su cloud.
“Il 12 dicembre 2023, HPE è stata informata che un sospetto attore statale aveva ottenuto l’accesso non autorizzato all’ambiente di posta elettronica Office 365 dell’azienda. HPE ha immediatamente attivato i protocolli di risposta informatica per avviare un’indagine, porre rimedio all’incidente e sradicare l’attività”, ha affermato HPE.
“Attraverso quell’indagine, che è ancora in corso, abbiamo stabilito che questo attore a livello nazionale ha avuto accesso ed estrapolato dati a partire da maggio 2023 da una piccola percentuale di caselle di posta HPE appartenenti a individui nei nostri segmenti di sicurezza informatica, go-to-market, business e altri funzioni.”
Questa rivelazione di HPE sulla violazione dei dati HPE collegata alla Russia è arrivata pochi giorni dopo Microsoft ha segnalato un incidente simile. Nel caso di Microsoft, APT29 è riuscito a compromettere gli account di posta elettronica dei suoi dirigenti e dipendenti di alto livello, in particolare quelli appartenenti ai settori della sicurezza informatica e legale.
L’indagine di Microsoft ha scoperto che gli hacker hanno avuto accesso a questi account di posta elettronica aziendali sfruttando un account di prova configurato in modo errato attraverso un attacco di “password spraying”, in cui hanno indovinato password deboli finché non hanno sfondato le difese dell’account.
In un contesto storico, anche HPE ha subito una violazione della sicurezza nel 2018, collegata ad APT10, un gruppo di hacker cinesi. Questo gruppo si è anche infiltrato nelle reti IBM e ha utilizzato tale violazione per prendere di mira i dispositivi dei clienti HPE.
Più recentemente, nel 2021, HPE ha annunciato che i repository di dati della sua piattaforma di monitoraggio della rete Aruba Central erano stati compromessi. Questa violazione ha consentito agli aggressori di ottenere informazioni dettagliate sui dispositivi monitorati e sulla loro posizione geografica.
In un aggiornamento riguardante l’attuale violazione dei dati di HPE, Bauer ha affermato che i dati ora in circolazione per la vendita provengono da un ambiente di test, il che potrebbe implicare un livello di sensibilità potenzialmente inferiore rispetto agli ambienti operativi o di produzione.
“Sulla base della nostra indagine finora, i dati in questione sembrano essere correlati a informazioni contenute in un ambiente di test. Non vi è alcuna indicazione che tali affermazioni si riferiscano ad alcuna compromissione degli ambienti di produzione HPE o delle informazioni dei clienti. Si tratta di credenziali locali utilizzate in un ambiente di test isolato e non sono applicabili all’ambiente di produzione. Inoltre, queste credenziali da sole non consentirebbero l’accesso agli ambienti di produzione poiché disponiamo di misure di sicurezza a più livelli. Inoltre, non abbiamo alcuna indicazione che queste affermazioni si riferiscano a qualsiasi compromissione delle informazioni dei clienti. Detto questo, abbiamo adottato ulteriori misure per rafforzare ulteriormente il nostro ambiente in relazione alle credenziali in questione”.
-Bauer
Credito immagine in primo piano: HPE
