O operațiune malefică la scară largă numită „EmeraldWhale” a scanat fișierele de configurare Git expuse pentru a fura peste 15.000 de credențiale de conturi cloud din mii de depozite private.
Potrivit Sysdig, care a descoperit campania, operațiunea implică utilizarea uneltelor automate care scanează plaje de IP-uri pentru fișierele de configurare Git expuse, care pot include token-uri de autentificare.
Aceste token-uri sunt apoi folosite pentru a descărca depozitele stocate pe GitHub, GitLab și BitBucket, care sunt scanate pentru alte credențiale.
Datele furate au fost exfiltrate către bucket-urile Amazon S3 ale altor victime și au fost ulterior folosite în campanii de pescuit și spam și vândute direct altor infractori cibernetici.
În timp ce expunerea token-urilor de autentificare Git poate permite furtul de date, ar putea duce și la încălcări de date grave, așa cum am văzut recent cu Internet Archive.
Fișierele de configurare Git, cum ar fi /.git/config sau .gitlab-ci.yml, sunt folosite pentru a defini diverse opțiuni precum căile de depozit, ramurile, depozitele remote și uneori chiar informații de autentificare precum cheile API, token-urile de acces și parolele.
Dezvoltatorii ar putea include aceste secrete în depozitele private pentru conveniență, facilitând transmiterea datelor și interacțiunile API fără a configura sau a efectua autentificarea de fiecare dată.
Acest lucru nu este periculos atâta timp cât depozitul este izolat corespunzător de accesul public. Cu toate acestea, dacă directorul /.git care conține fișierul de configurare este expus în mod eronat pe un site web, actorii de amenințare folosind scanere ar putea să le localizeze și să le citească cu ușurință.
Dacă aceste fișiere de configurare furate conțin token-uri de autentificare, acestea pot fi utilizate pentru a descărca codul sursă asociat, bazele de date și alte resurse confidențiale care nu sunt destinate accesului public.
Actorii de amenințare din spatele EmeraldWhale folosesc unelte open-source precum ‘httpx’ și ‘Masscan’ pentru a scana site-urile web găzduite pe aproximativ 500 de milioane de adrese IP împărțite în 12.000 de plaje de IP-uri.
Sysdig spune că hackerii au creat chiar fișiere care enumerau fiecare adresă IPv4 posibilă, acoperind peste 4,2 miliarde de înregistrări, pentru a simplifica scanările viitoare.
Scanările verifică pur și simplu dacă fișierul de configurare /.git/config și fișierele de mediu (.env) din aplicațiile Laravel sunt expuse, care ar putea conține, de asemenea, chei API și credențiale cloud.
Odată ce o expunere este identificată, token-urile sunt verificate folosind comenzi „curl” către diverse API-uri și, dacă sunt valide, sunt folosite pentru a descărca depozitele private.
Aceste depozite descărcate sunt scanate din nou pentru secrete de autentificare pentru AWS, platformele cloud și furnizorii de servicii de e-mail. Actorii de amenințare au folosit token-urile de autentificare expuse pentru platformele de e-mail pentru a efectua campanii de spam și pescuit de date.
Sysdig a observat utilizarea a două seturi de unelte de marfă pentru a simplifica acest proces la scară largă, și anume MZR V2 (Mizaru) și Seyzo-v2.
Pentru Laravel, a fost folosită uneltea Multigrabber v8.5 pentru a verifica domeniile pentru fișierele .env, a le fura și apoi a clasifica informațiile în funcție de potențialul lor de utilizare.
Sysdig a examinat bucket-ul S3 expus și a găsit un terabajt de secrete în el, inclusiv credențiale furate și date de jurnalizare.
Bazându-se pe datele colectate, EmeraldWhale a furat 15.000 de credențiale cloud din 67.000 de URL-uri care expuneau fișierele de configurare.
Dintre URL-urile expuse, 28.000 corespundeau depozitelor Git, 6.000 erau token-uri GitHub și un număr semnificativ de 2.000 au fost validate ca fiind credențiale active.
În plus față de platformele majore precum GitHub, GitLab și BitBucket, hackerii au vizat și 3.500 de depozite mai mici aparținând echipelor mici și dezvoltatorilor individuali.
Sysdig spune că doar liste de URL-uri care indică fișierele de configurare Git expuse sunt vândute pe Telegram pentru aproximativ 100 de dolari, dar cei care exfiltratează secretele și le validează au mult mai multe oportunități de monetizare semnificative.
Cercetătorii notează că această campanie nu este deosebit de sofisticată, se bazează pe unelte de marfă și automatizare, dar totuși a reușit să fure mii de secrete care ar putea duce potențial la încălcări catastrofale de date.
Dezvoltatorii de software pot reduce riscul folosind unelte dedicate de gestiune a secretelor pentru a-și stoca secretele și folosind variabile de mediu pentru a configura setările sensibile în timpul rulării în loc să le codifice în fișierele de configurare Git.
Leave a Reply