Siber suçlu çeteleri, milyonlarca sitenin savunmasız uç noktalar açısından taranmasını içeren toplu bir siber operasyonla Amazon Web Services (AWS) bulut kimlik bilgilerini ve binlerce kuruluştan diğer verileri çalmak için halka açık web sitelerindeki güvenlik açıklarından yararlandı.
Gevşek bir şekilde organize edilen CyberCyber Labs araştırma grubundan bağımsız siber güvenlik araştırmacıları Noam Rotem ve Ran Locar, operasyonu Ağustos ayında ortaya çıkardı ve bunu yetkililere bildirdi. vpnMentorHangi yayınlandı bulguları hakkında 9 Aralık’ta bir blog yazısı. Saldırganların bilinen tehdit grupları Nemesis ve ShinyHunters ile bağlantılı olduğu görülüyor; bunlardan ikincisi muhtemelen bu yılın başlarında yarım milyon kişiden veri çalan bir bulut ihlaliyle tanınıyor. Ticketmaster müşterileri.
“Bu ‘çetelerin her ikisi de’, kâr amacıyla geniş ölçekte faaliyet gösteren ve hizmetlerin karmaşıklığını veya bulut bilişimde sunulan kontrolleri tam olarak anlamadan bulut bilişime geçiş yapan kuruluşlardan gelen kontrollerdeki zayıflıkları tespit etmek için teknik becerilerini kullanan, teknik açıdan gelişmiş bir siber suç örgütünü temsil ediyor. ” Bulut kimliği ve güvenlik yönetimi firması Saviynt’in güven sorumlusu Jim Routh bunu belirtiyor.
Ancak ironik bir şekilde araştırmacılar, Fransızca konuşan saldırganların kendi bulut tabanlı hatalarını gerçekleştirdikleri zaman operasyonu keşfettiler; kurbanlardan toplanan verilerin bir kısmını 2 TB veri içeren bir AWS Basit Depolama Hizmeti (S3) klasöründe depoladılar. Gönderiye göre, veri sahibinin yanlış yapılandırması nedeniyle açık bırakıldı.
vpnMentor araştırma ekibi gönderide şöyle yazdı: “S3 paketi, saldırı grubu üyeleri arasında, kullandıkları araçların kaynak koduna dayalı olarak bir ‘paylaşılan sürücü’ olarak kullanılıyordu.”
Operasyonda çalınan veriler arasında altyapı kimlik bilgileri, özel kaynak kodu, uygulama veritabanları ve hatta ek harici hizmetlere ait kimlik bilgileri de yer alıyordu. Araştırmacılar, kovanın aynı zamanda operasyonu yürütmek için kullanılan kod ve yazılım araçlarının yanı sıra kurban ağlarından alınan binlerce anahtar ve sırrı da içerdiğini söyledi.
İki Parçalı Saldırı Dizisi
Araştırmacılar sonuçta keşif ve kullanımdan oluşan iki adımlı bir saldırı dizisini yeniden oluşturdular. vpnMentor ekibine göre saldırganlar, AWS’ye ait çok çeşitli IP’leri taramak için bir dizi komut dosyasıyla işe başladı ve “bilinen uygulama güvenlik açıklarının yanı sıra bariz hataları” aradı.
Saldırganlar, saldırı yüzeylerini genişletmek amacıyla AWS aralıklarında bulunan her bir IP adresiyle ilişkili alan adlarını almak için cephaneliklerindeki bir yardımcı programı kullanarak IP adreslerinde geriye doğru arama yapmak için BT arama motoru Shodan’ı kullandı. Etki alanı listesini daha da genişletmek amacıyla, her bir IP tarafından sunulan SSL sertifikasını da analiz ederek onunla ilişkili alan adlarını çıkardılar.
Hedefleri belirledikten sonra, önce açıkta kalan genel uç noktaları bulmak ve ardından sistemi Laravel, WordPress vb. gibi kategorilere ayırmak için bir tarama sürecine başladılar. Bu yapıldıktan sonra, veritabanı erişim bilgilerini çıkarmaya çalışarak daha ileri testler gerçekleştireceklerdi. AWS müşteri anahtarları ve sırları, parolalar, veritabanı kimlik bilgileri, Google ve Facebook hesabı kimlik bilgileri, kripto genel ve özel anahtarları (CoinPayment, Binance ve BitcoinD için) ve ürüne özel uç noktalardan daha fazlası.
Gönderiye göre “Her bir kimlik bilgisi seti, aktif olup olmadığını belirlemek için test edildi ve doğrulandı.” “Ayrıca operasyonun daha sonraki bir aşamasında kullanılmak üzere çıktı dosyalarına da yazıldılar.”
Açığa çıkan AWS müşteri kimlik bilgileri bulunup doğrulandığında saldırganlar ayrıca kimlik ve erişim yönetimi (IAM), Basit E-posta Hizmeti (SES), Basit Bildirim Hizmeti (SNS) ve S3 gibi önemli AWS hizmetlerindeki ayrıcalıkları da kontrol etmeye çalıştı.
Siber Saldırgan İlişkilendirmesi ve AWS Yanıtı
Araştırmacılar, operasyonda kullanılan ve ShinyHunters’ın kullandığı araçlarla “aynı görünen” araçlar aracılığıyla failleri takip etti. Araçlar Fransızca olarak belgelendi ve bu yılın başlarında tutuklanan ve suçunu kabul eden ShinyHunters üyesi Sebastien Raoult’un takma adı olan “Sezyo Kaizen” tarafından imzalandı.
Araştırmacılar ayrıca Dark Web pazarının operatörü tarafından kullanılan “” adlı bir imzayı da ele geçirdiler.Nemesis KaraborsaÇalınan erişim bilgilerinin ve spam için kullanılan hesapların satışına odaklanan “.
İsrail dışında çalışan araştırmacılar, bulgularını Eylül ayı başlarında İsrail Siber Müdürlüğü’ne bildirdiler ve ardından 26 Eylül’de gönderilen bir raporla AWS Güvenliğini bilgilendirdiler. Şirket, etkiyi azaltmak ve etkilenen müşterileri bu durumdan haberdar etmek için hemen adımlar attı. vpnMentor’a göre risk.
Sonuçta AWS ekibi, operasyonun müşteri uygulaması tarafında mevcut kusurları hedeflediğini buldu. paylaşılan sorumluluk bulut modeli ve araştırmacıların “tamamen aynı fikirde olduklarını” söyledikleri AWS’nin herhangi bir hatasını yansıtmıyordu. AWS güvenlik ekibi, araştırmalarını ve hafifletme çalışmalarını 9 Kasım’da tamamladıklarını doğruladı ve araştırmacılara olayı açıklamaları için yeşil ışık yaktı.
Kuruluşların kendi bulut ortamlarına yönelik benzer bir saldırıyı önlemek için atabileceği bazı adımlar arasında, sabit kodlanmış kimlik bilgilerinin hiçbir zaman kodlarında ve hatta yetkisiz tarafların erişebileceği dosya sistemlerinde bulunmamasını sağlamak yer alır.
Kuruluşlar ayrıca tembel saldırganların yaygın güvenlik açıklarını belirlemek için sıklıkla kullandığı “dirsearch” veya “nikto” gibi açık kaynak araçlarını kullanarak basit Web taramaları yapmalıdır. Araştırmacılar, bunun kötü niyetli bir aktörden önce çevrelerindeki delikleri bulmalarına olanak sağlayacağını belirtti.
Bir Web uygulaması güvenlik duvarının (WAF) aynı zamanda kötü amaçlı etkinlikleri engellemek için nispeten düşük maliyetli bir çözüm olduğunu ve aynı zamanda anahtarları, parolaları ve diğer sırları periyodik olarak “yönlendirmenin” de faydalı olduğunu söylediler. Kuruluşlar da oluşturabilir KanaryaTokenları Araştırmacılar, kodlarının gizli yerlerde bulunduğunu, bunun yöneticileri bir saldırganın olmaması gereken yerlere müdahale ediyor olabileceği konusunda uyarmak için tuzak telleri görevi gördüğünü belirtti.
Routh, olayın aynı zamanda, yeni teknoloji seçenekleri sunulduğunda geleneksel kontrol yöntemleri yerine siber kontrolleri esnekliğe ulaşmak için ayarlaması ve tasarlaması gereken kuruluşlar için bir öğrenme fırsatı sağladığını söylüyor.
AWS de aynı fikirde. Bir sözcü Dark Reading’e şunları söyledi: “Tüm hizmetler beklendiği gibi çalışıyor. AWS kimlik bilgileri, güvenli bir şekilde kullanılması gereken gizli bilgileri içerir. AWS, bu kimlik bilgilerinin kaynak kodunda saklanması ihtiyacını ortadan kaldıran yetenekler sağlar. Örneğin AWS Secrets Manager, veritabanı kimlik bilgilerini, API anahtarlarını ve diğer gizli dizileri yaşam döngüleri boyunca yönetmenize, almanıza ve döndürmenize yardımcı olur. Müşteriler hâlâ bazen yanlışlıkla genel kod depolarındaki kimlik bilgilerini açığa çıkarıyor. AWS bu tehlikeyi tespit ettiğinde, IAM kullanıcısını güvenliği ihlal edilmiş kimlik bilgileriyle karantinaya almak için otomatik olarak bir politika uygulayarak bu kullanıcının kullanabileceği eylemleri büyük ölçüde sınırlandırır ve müşteriyi bilgilendiririz. Bir müşterinin kimlik bilgileri tehlikeye girerse, kimlik bilgilerini iptal etmelerini, AWS CloudTrail günlüklerini istenmeyen etkinlik açısından kontrol etmelerini ve AWS hesaplarını istenmeyen kullanım açısından incelemelerini öneririz.”