Веб-хостинг и регистратор доменных имён GoDaddy признал новый факт атаки хакерами, в ходе которой злоумышленники украли исходный код части сервисов и установили вредоносное ПО на серверы компании. Неизвестные лица имели доступ к внутренней сети GoDaddy в течение нескольких лет.
GoDaddy является одним из крупнейших регистраторов доменов, а также предоставляет услуги хостинга более чем 20 млн клиентов по всему миру.
Специалисты по ИБ GoDaddy обнаружили брешь в системе безопасности после массовых сообщений клиентов в начале декабря 2022 года о том, что их сайты начали использоваться для перенаправления на случайные домены с фишинговыми компаниями.
«Основываясь на нашем расследовании, мы считаем, что инцидент со взломом нашей сети является частью многолетней кампании группы злоумышленников, которая, среди прочего, установила вредоносное ПО в наши системы и получила фрагменты кода, связанные с некоторыми службами GoDaddy», — говорится в сообщении хостинга.
GoDaddy пояснила, что сотрудничает со сторонними экспертами по кибербезопасности и правоохранительными органами по всему миру в рамках продолжающегося расследования. В GoDaddy заявили, что обнаружили дополнительные доказательства связи злоумышленников с более широкой кампанией, направленной против других хостинговых компаний по всему миру на протяжении многих лет.
«У нас есть доказательства, и правоохранительные органы подтвердили, что атака хакеров была совершена сложной и организованной группой, нацеленной на услуги хостингов, такие как GoDaddy», — говорится в заявлении хостинговой компании. Эксперты считают, что целью атаки хакеров было массовое заражение веб-сайтов и серверов вредоносными программами для проведения фишинговых кампаний, распространения вредоносных программ и других вредоносных действий.
В ноябре 2021 года GoDaddy рассказал подробности инцидента, приведшего к утечке данных 1,2 млн клиентов на WordPress, включая их логины и пароли от баз данных и sFTP. Согласно пояснению GoDaddy, взлом базы данных клиентов услуги Managed WordPress произошёл на платформе 6 сентября 2021 года. Для этого злоумышленник использовал рабочую скомпрометированную учётную запись одного из сотрудников. Хакер более месяца имел полный доступ к 1,2 млн аккаунтов клиентов WordPress, их электронным адресам, номерам клиентов, данным протокола sFTP, закрытым ключам SSL. От хакерской атаки на GoDaddy пострадали клиенты компаний-реселлеров tsoHost, Media Temple, 123Reg, Domain Factory, Heart Internet и Host Europe. GoDaddy внесла их в свою инфраструктуру после поглощения в 2013 году Media Temple и в 2017 году Host Europe Group. Эти компании предоставляли веб-хостинг и облачные услуги преимущественно в Европе, у них также были клиенты по всему миру.
