HPE investiga novo vazamento após dados à venda em fórum de hacking
6 de Fevereiro de 2024

A Hewlett Packard Enterprise (HPE) está investigando uma possível nova violação depois que um ator de ameaças alegadamente colocou dados roubados à venda em um fórum de hackers, alegando que eles contêm credenciais da HPE e outras informações sensíveis.

A empresa disse ao BleepingComputer que não encontrou evidências de uma violação de segurança e nenhum resgate foi solicitado, mas está investigando as reivindicações do ator de ameaças.

"Estamos cientes das reivindicações e estamos investigando sua veracidade", declarou Adam R.

Bauer, Diretor Sênior para Comunicações Globais da HPE ao BleepingComputer na quinta-feira.

"Até o momento, não encontramos prova de uma intrusão, nem qualquer impacto nos produtos ou serviços da HPE.

Não houve tentativa de extorsão."

Quando solicitado a fornecer detalhes adicionais sobre a investigação em curso da empresa, Bauer disse que não havia "nada novo para compartilhar."

IntelBroker, o ator das ameaças vendendo os alegados dados da HPE, compartilhou capturas de tela de algumas das supostas credenciais da HPE roubadas, mas ainda não divulgou a fonte das informações ou o método usado para obtê-las.

"Hoje, estou vendendo os dados que tirei da Hewlett Packard Enterprise", diz o ator da ameaça em uma postagem no fórum de hackers.

"Em específico, os dados incluem: acesso CI/CD, logs do sistema, arquivos de configuração, tokens de acesso, arquivos HPE StoreOnce (números de série de garantia etc) e senhas de acesso.

(Os serviços de e-mail também estão inclusos)."

IntelBroker é mais conhecida pela violação do DC Health Link, que levou a uma audiência no Congresso depois que expôs os dados pessoais de membros e funcionários da Câmara dos Deputados dos EUA.

Outros incidentes de cibersegurança ligados à IntelBroker incluem a violação do serviço de supermercado Weee! e uma alegada violação da General Electric Aviation.

Essa investigação vem após a HPE ter informado há duas semanas que o ambiente de e-mail Microsoft Office 365 da empresa foi violado em maio de 2023 por hackers que a empresa acredita serem parte do grupo de hacking russo APT29, ligado ao Serviço de Inteligência Estrangeira da Rússia (SVR).

A empresa disse que os hackers russos roubaram arquivos SharePoint e dados de sua equipe de cibersegurança e outros departamentos e mantiveram o acesso à sua infraestrutura em nuvem até dezembro, quando a HPE foi novamente alertada sobre uma violação de seu ambiente de e-mail baseado em nuvem.

"Em 12 de dezembro de 2023, a HPE foi informada de que um suposto ator de estado-nação ganhou acesso não autorizado ao ambiente de e-mail Office 365 da empresa.

A HPE ativou imediatamente protocolos de resposta cibernética para iniciar uma investigação, remediar o incidente e erradicar a atividade", a HPE contou ao BleepingComputer.

"Através dessa investigação, que ainda está em andamento, determinamos que este ator de estado-nação acessou e exfiltrou dados a partir de maio de 2023 de uma pequena porcentagem de caixas de correio da HPE pertencentes a indivíduos da nossa equipe de cibersegurança, go-to-market, segmentos de negócios e outras funções."

Dias antes do anúncio do hack russo pela HPE, a Microsoft revelou uma violação similar, onde o APT29 violou algumas de suas contas de e-mail corporativas pertencentes à liderança da empresa e funcionários dos departamentos de cibersegurança e jurídico.

A Microsoft depois compartilhou que os atores da ameaça ganharam acesso às contas de e-mail corporativas depois de hackear uma conta de teste mal configurada forçando sua senha em um ataque de "spray de senhas".

A HPE também foi violada em 2018 quando os hackers chineses da APT10 também invadiram as redes da IBM e usaram o acesso para invadir os dispositivos de seus clientes.

Mais recentemente, a HPE divulgou em 2021 que os repositórios de dados de sua plataforma de monitoramento de rede Central Aruba foram comprometidos, permitindo aos invasores acessar dados sobre dispositivos monitorados e suas localizações.

Atualização em 05 de fevereiro, 16:46 EST: Depois que o artigo foi publicado, Bauer também disse ao BleepingComputer que os dados que estavam sendo oferecidos à venda online foram obtidos de um "ambiente de teste".

"Com base em nossa investigação até agora, os dados em questão parecem estar relacionados à informação que estava contida em um ambiente de teste.

Não há indicação de que essas alegações se relacionem com qualquer comprometimento de ambientes de produção da HPE ou informações de clientes", disse Bauer em um comunicado enviado por e-mail.

Publicidade

Pentest do Zero ao Profissional

O mais completo curso de Pentest e Hacking existente no Brasil, ministrado por instrutores de referência no mercado. Oferece embasamento sólido em computação, redes, Linux e programação. Passe por todas as fases de um Pentest utilizando ambientes realísticos. Se prepare para o mercado através da certificação SYCP. Saiba mais...