Μια μεγάλης κλίμακας κακόβουλη λειτουργία με το όνομα “EmeraldWhale” σαρώθηκε για εκτεθειμένα αρχεία διαμόρφωσης Git για να κλέψει πάνω από 15.000 διαπιστευτήρια λογαριασμού cloud από χιλιάδες ιδιωτικούς χώρους αποθήκευσης.
Σύμφωνα με Sysdigπου ανακάλυψε την καμπάνια, η λειτουργία περιλαμβάνει τη χρήση αυτοματοποιημένων εργαλείων που σαρώνουν εύρη IP για εκτεθειμένα αρχεία διαμόρφωσης Git, τα οποία μπορεί να περιλαμβάνουν διακριτικά ελέγχου ταυτότητας.
Στη συνέχεια, αυτά τα διακριτικά χρησιμοποιούνται για τη λήψη αποθετηρίων που είναι αποθηκευμένα στο GitHub, στο GitLab και στο BitBucket, τα οποία σαρώνονται για περαιτέρω διαπιστευτήρια.
Τα κλεμμένα δεδομένα διηθήθηκαν σε κουβάδες Amazon S3 άλλων θυμάτων και στη συνέχεια χρησιμοποιήθηκαν σε εκστρατείες ηλεκτρονικού ψαρέματος και ανεπιθύμητης αλληλογραφίας και πωλήθηκαν απευθείας σε άλλους εγκληματίες του κυβερνοχώρου.
Ενώ η έκθεση των διακριτικών ελέγχου ταυτότητας Git μπορεί να επιτρέψει την κλοπή δεδομένων, θα μπορούσε επίσης να οδηγήσει σε πλήρεις παραβιάσεις δεδομένων όπως είδαμε πρόσφατα με το Αρχείο Διαδικτύου.
Εκτεθειμένα αρχεία διαμόρφωσης Git
Τα αρχεία διαμόρφωσης Git, όπως τα /.git/config ή .gitlab-ci.yml, χρησιμοποιούνται για τον καθορισμό διαφόρων επιλογών όπως διαδρομές αποθετηρίου, διακλαδώσεις, απομακρυσμένα και μερικές φορές ακόμη και πληροφορίες ελέγχου ταυτότητας όπως κλειδιά API, διακριτικά πρόσβασης και κωδικούς πρόσβασης.
Οι προγραμματιστές ενδέχεται να συμπεριλάβουν αυτά τα μυστικά σε ιδιωτικά αποθετήρια για ευκολία, διευκολύνοντας τις μεταδόσεις δεδομένων και τις αλληλεπιδράσεις API χωρίς να διαμορφώνουν ή να εκτελούν έλεγχο ταυτότητας κάθε φορά.
Αυτό δεν είναι επικίνδυνο εφόσον το αποθετήριο είναι κατάλληλα απομονωμένο από την πρόσβαση του κοινού. Ωστόσο, εάν ο κατάλογος /.git που περιέχει το αρχείο διαμόρφωσης εκτεθεί κατά λάθος σε έναν ιστότοπο, οι φορείς απειλών που χρησιμοποιούν σαρωτές θα μπορούσαν εύκολα να τους εντοπίσουν και να τους διαβάσουν.
Εάν αυτά τα κλεμμένα αρχεία διαμόρφωσης περιέχουν διακριτικά ελέγχου ταυτότητας, μπορούν να χρησιμοποιηθούν για τη λήψη συσχετισμένου πηγαίου κώδικα, βάσεων δεδομένων και άλλων εμπιστευτικών πόρων που δεν προορίζονται για δημόσια πρόσβαση.
Οι παράγοντες απειλών πίσω από το EmeraldWhale χρησιμοποιούν εργαλεία ανοιχτού κώδικα όπως το «httpx» και το «Masscan» για να σαρώσουν ιστότοπους που φιλοξενούνται σε περίπου 500 εκατομμύρια διευθύνσεις IP, χωρισμένες σε 12.000 εύρη IP.
Η Sysdig λέει ότι οι χάκερ δημιούργησαν ακόμη και αρχεία με όλες τις πιθανές διευθύνσεις IPv4, που εκτείνονται σε πάνω από 4,2 δισεκατομμύρια καταχωρήσεις, για να εξορθολογίσουν τις μελλοντικές σαρώσεις.
Οι σαρώσεις απλώς ελέγχουν εάν το αρχείο /.git/config και τα αρχεία περιβάλλοντος (.env) στις εφαρμογές Laravel είναι εκτεθειμένα, τα οποία μπορεί επίσης να περιέχουν κλειδιά API και διαπιστευτήρια cloud.
Μόλις εντοπιστεί μια έκθεση, τα διακριτικά επαληθεύονται χρησιμοποιώντας εντολές ‘curl’ σε διάφορα API και, εάν είναι έγκυρα, χρησιμοποιούνται για τη λήψη ιδιωτικών αποθετηρίων.
Αυτά τα ληφθέντα αποθετήρια σαρώνονται ξανά για μυστικά ελέγχου ταυτότητας για AWS, πλατφόρμες cloud και παρόχους υπηρεσιών email. Οι φορείς απειλών χρησιμοποίησαν τα εκτεθειμένα διακριτικά ελέγχου ταυτότητας για πλατφόρμες ηλεκτρονικού ταχυδρομείου για τη διεξαγωγή καμπανιών ανεπιθύμητης αλληλογραφίας και phishing.
Ο Sysdig παρατήρησε τη χρήση δύο συνόλων εργαλείων για τον εξορθολογισμό αυτής της διαδικασίας μεγάλης κλίμακας, δηλαδή του MZR V2 (Mizaru) και του Seyzo-v2.
Πηγή: Sysdig
Για τη Laravel, το εργαλείο Multigrabber v8.5 χρησιμοποιήθηκε για τον έλεγχο τομέων για αρχεία .env, την κλοπή τους και, στη συνέχεια, την ταξινόμηση των πληροφοριών με βάση τις δυνατότητες χρηστικότητάς τους.
Πηγή: Sysdig
Αξιολόγηση των κλεμμένων δεδομένων
Ο Sysdig εξέτασε τον εκτεθειμένο κάδο S3 και βρήκε μυστικά αξίας ενός terabyte σε αυτόν, συμπεριλαμβανομένων κλεμμένων διαπιστευτηρίων και δεδομένων καταγραφής.
Με βάση τα δεδομένα που συλλέχθηκαν, το EmeraldWhale έκλεψε 15.000 διαπιστευτήρια cloud από 67.000 διευθύνσεις URL που εξέθεσαν αρχεία διαμόρφωσης.
Από τις εκτεθειμένες διευθύνσεις URL, 28.000 αντιστοιχούσαν σε αποθετήρια Git, 6.000 ήταν διακριτικά GitHub και αξιοσημείωτα 2.000 επικυρώθηκαν ως ενεργά διαπιστευτήρια.
Εκτός από μεγάλες πλατφόρμες όπως το GitHub, το GitLab και το BitBucket, οι χάκερ στόχευσαν επίσης 3.500 μικρότερα αποθετήρια που ανήκουν σε μικρές ομάδες και μεμονωμένους προγραμματιστές.
Πηγή: Sysdig
Η Sysdig λέει ότι απλές λίστες διευθύνσεων URL που παραπέμπουν σε εκτεθειμένα αρχεία διαμόρφωσης Git πωλούνται στο Telegram για περίπου 100 $, αλλά όσοι εκμεταλλεύονται τα μυστικά και τα επικυρώνουν έχουν πολύ πιο σημαντικές ευκαιρίες δημιουργίας εσόδων.
Οι ερευνητές σημειώνουν ότι αυτή η καμπάνια δεν είναι ιδιαίτερα εξελιγμένη, βασίζεται σε εργαλεία εμπορευμάτων και αυτοματισμό, ωστόσο κατάφερε να κλέψει χιλιάδες μυστικά που μπορεί ενδεχομένως να οδηγήσουν σε καταστροφικές παραβιάσεις δεδομένων.
Οι προγραμματιστές λογισμικού μπορούν να μετριάσουν τον κίνδυνο χρησιμοποιώντας ειδικά εργαλεία διαχείρισης μυστικών για την αποθήκευση των μυστικών τους και χρησιμοποιώντας μεταβλητές περιβάλλοντος για να διαμορφώσουν ευαίσθητες ρυθμίσεις κατά το χρόνο εκτέλεσης αντί να τις κωδικοποιήσουν σε αρχεία διαμόρφωσης Git.
VIA: bleepingcomputer.com
