Palo Alto araştırmacıları, bal küpü uygulamasının bir parçası olarak AWS anahtarlarını kasıtlı olarak halka açık bir GitHub deposunda açığa çıkardıklarında, AWS’nin açığa çıkan anahtarları hızlı bir şekilde tespit ettiğini ve anahtarların kötüye kullanılmasını önleyen bir karantina politikası uyguladığını gördüler
siber-1
Contrast Security’nin kurucu ortağı ve CTO’su Jeff Williams, kampanyanın kuruluşların temel güvenlik uygulamalarını uygulamadaki hayal kırıklığı yaratan başarısızlığını vurguladığını söyledi Palo Alto araştırmacıları, ilk keşif çalışmasının ardından tehdit aktörünün, hesap aracılığıyla erişebildikleri herhangi bir AWS bölgesi için bölge başına birden fazla EC2 örneğini başlatmak üzere bir AWS API kullandığını buldu “Ancak geliştiricileri suçlamak da adil değil
Hızlı Tespit ve Kötüye KullanımBu hafta yayınlanan bir raporda araştırmacılar, kampanyayı, tehdit aktörünün IAM kimlik bilgilerinin halka açık GitHub deposunda ifşa edilmesinden sonraki yalnızca beş dakika içinde tam teşekküllü bir saldırı başlatma becerisi açısından dikkate değer olarak nitelendirdi
Güvenlik sağlayıcısı, Monero’nun gizlilik korumalarının Palo Alto araştırmacılarının ilgili cüzdanları takip etmesini engellediğini, dolayısıyla tehdit aktörünün şu ana kadar ne kadar kripto para birimi madenciliği yaptığına dair herhangi bir rakam elde etmenin mümkün olmadığını söyledi Aslında saldırgan, Palo Alto’nun kasıtlı olarak açığa çıkan anahtarlarını GitHub’da fark ettiğinde, AWS bunları zaten karantinaya almıştı
Palo Alto araştırmacıları William Gamazo ve Nathaniel Quist, “Başarılı AWS karantina politikalarına rağmen kampanya, ele geçirilen kurban hesaplarının sayısı ve sıklığında sürekli dalgalanmayı sürdürüyor” dedi “Kampanyanın neden hala aktif olduğuna dair çeşitli spekülasyonlar arasında, bu kampanyanın yalnızca açığa çıkan GitHub kimlik bilgilerine veya Amazon EC2 bulut sunucusu hedeflemesine odaklanmadığı yer alıyor
Palo Alto, AWS IAM kimlik bilgilerini yanlışlıkla açığa çıkarmış olabilecek kuruluşların, kimlik bilgilerine bağlı API bağlantılarını derhal iptal etmesini önerdi
Tehdit aktörünün kripto madenciliği için EC2 hesapları oluşturmak amacıyla açık anahtarları hâlâ kullanabilmesi, AWS’nin bulamadığı açık anahtarları bulabildiklerini gösteriyor
Tehdit aktörünün Palo Alto’nun bal küpüne yaptığı saldırılardan elde edilen veriler, saldırganın bir VPN arkasından halka açık GitHub depolarını gerçek zamanlı olarak taradığını ve ilgili AWS hesabı üzerinde keşif gerçekleştirmek için açığa çıkan AWS anahtarlarını kullandığını gösterdi ”
Palo Alto araştırmacıları, Elektra-Leak kampanyasını, şirketin yeni ve ortaya çıkan bulut güvenliği tehditlerine ilişkin tehdit istihbaratı toplamak için uyguladığı bir bal tuzağı aracılığıyla keşfetti Kampanyaya ilişkin araştırmaları, tehdit aktörünün büyük olasılıkla herkese açık GitHub depolarını sürekli olarak klonlamak ve açıkta kalan AWS anahtarlarını bulmak için otomatik araçlar kullandığını gösterdi “Bu durumda tehdit aktörü, kurbanlardan kaynak çalmaya yönelik kötü niyetli eylemlerine müdahale edecek hiçbir politika olmadan saldırıya devam edebilir Raporda, saldırganın otomatik taramayı bir VPN’in arkasından yapması ve yükleri hazırlamak için Google Drive’ı kullanmasının, Palo Alto araştırmacılarının düşmanın coğrafi konumunu tespit etmesini zorlaştırdığı da belirtildi
Kampanyayı “Elektra-Leak” olarak takip eden Palo Alto Networks araştırmacıları, bu hafta saldırganın ağustos ayına kadar kripto madenciliği için en az 474 benzersiz geniş formatlı veya hesaplama için optimize edilmiş Amazon EC2 örneği oluşturduğunu gözlemlediklerini söyledi Saldırganlar daha sonra Monero kripto madenciliği için Google Drive’da saklanan bir veriyi indirdiler Amazon, bu tür suiistimallere karşı koruma sağlamak amacıyla, maruz kaldıktan sonraki birkaç dakika içinde karantina politikalarını başarılı bir şekilde uygulamaya koymasına rağmen, saldırgan, AWS EC2 bulut sunucuları oluşturmak için açığa çıkan anahtarları kullanabildi Palo Alto raporunda “Kanıtlarımıza göre muhtemelen öyle yaptılar” dedi Gerçekten yardımcı olabilecek şeyin, geliştiricilerin iyi seçimler yapmasını kolaylaştıran kimlik doğrulama sistemleri olduğunu ekledi Güvenlik sağlayıcısı, “Kuruluşların üretim ortamında herhangi bir dinamik işlevi gerçekleştirmek için kısa ömürlü kimlik bilgileri kullanmasını önemle tavsiye ediyoruz” dedi 30 ve 6 Ekim Williams, e-postayla gönderdiği bir yorumda, “Karmaşık değil, sadece anahtarlarınızı halka açık olarak paylaşmıyorsunuz” dedi Ayrıca kimlik bilgilerini kaldırmaları ve yeni AWS kimlik bilgileri oluşturmaları gerekir
Saldırganlar, kripto para birimi madenciliği amacıyla AWS Elastic Compute (EC2) örnekleri oluşturmak için açıktaki Amazon Web Services (AWS) kimlik ve erişim yönetimi (IAM) kimlik bilgilerini kamuya açık GitHub depolarında aktif olarak topluyor Birçok kuruluş GitHub depolarını klonlayarak geliştirme ortamlarında deponun yerel bir kopyasına sahip olmalarını sağlar Bu tür binlerce sorun var ve bunların hepsinde mükemmel performans göstermeleri gerekiyor, aksi takdirde aptal veya tembel oldukları için sürüklenmeleri gerekiyor” dedi bu hafta rapor ver