Bu haftanın başlarında araştırmacılar, saldırganların 15.000’den fazla kimlik bilgisini çalıntı, açık bir ortama aktarmasının ardından EmeraldWhale adı verilen büyük bir siber suç operasyonunu ortaya çıkardılar. AWS S3 paketi büyük bir Git deposu hırsızlığı kampanyasında. Bu olay, bulut yapılandırmalarını sıkılaştırmamız ve sabit kodlanmış kimlik bilgilerinin eklenmesi gibi hatalar için kaynak kodunu incelememiz gerektiğini hatırlatıyor.
Saldırı sırasında EmeraldWhale, kimlik bilgilerini çalmak için Git yapılandırmalarını hedef aldı, 10.000’den fazla özel depoyu klonladı ve kaynak kodundan bulut kimlik bilgilerini çıkardı.
Kampanya, yanlış yapılandırılmış Web ve bulut hizmetlerini kötüye kullanmak için çeşitli özel araçlar kullandı. Sysdig Tehdit Araştırma Ekibi’ne göreküresel operasyonu keşfeden. Kimlik avı, kampanyanın Dark Web’deki hesap başına yüzlerce dolar değerinde olabilen kimlik bilgilerini çalmak için kullandığı birincil araçtır. Operasyon aynı zamanda başkalarının da aynı faaliyette bulunması için hedef listelerini yer altı pazaryerlerinde satarak para kazanıyor.
EmeraldWhale’ın İlk İhlali
Araştırmacılar ilk olarak Sysdig TRT bulut bal küpünü izliyordu ve s3siplisitter olarak adlandırılan bir S3 kovası olan ele geçirilmiş bir hesap kullanılarak bir ListBuckets çağrısı gözlemlediler.
Kova bilinmeyen bir hesaba aitti ve kamuya açıklanmıştı. Bir soruşturma başlattıktan sonra araştırmacılar, açık depolardaki Git dosyalarının Web’den kazınması da dahil olmak üzere çok yönlü bir saldırıya dair kanıtlar buldular. Araştırmacılara göre Ağustos ve Eylül ayları arasında, sabit kodlanmış kimlik bilgileri içerebilen Git deposu yapılandırma dosyalarının açıkta olduğu sunucuları etkileyen büyük bir tarama kampanyası gerçekleşti.
Contrast Security’nin ürün güvenliği direktörü Naomi Buckwalter, e-postayla gönderdiği bir açıklamada, “Güvenlik uzmanları olarak, özellikle hassas sırları, API belirteçlerini ve kimlik doğrulama bilgilerini kaynak kodumuzun dışında tutmak söz konusu olduğunda kayıtsız kalmayı göze alamayız.” Karanlık Okuma’ya. “Infosec profesyonelleri ön saflarda yer alarak geliştirme ekiplerini sırları nasıl güvenli bir şekilde saklayacakları, yönetecekleri ve erişebilecekleri konusunda eğitmekle kalmamalı, aynı zamanda sabit kodlu kimlik bilgileri için kaynak kodlarını düzenli olarak taramalı ve anormal etkinliklere karşı kimlik bilgisi kullanımını izlemelidir.”
Her Zaman Gardınızı Yüksek Tutun
Genel olarak Git dizinleri “tam taahhüt geçmişi, yapılandırma dosyaları, dallar ve referanslar dahil olmak üzere sürüm kontrolü için gereken tüm bilgileri” içerir.
Araştırmacılar, “.git dizini açığa çıkarsa, saldırganlar deponun geçmişi, yapısı ve hassas proje bilgileri hakkında değerli verileri ele geçirebilir” diye ekledi. “Buna, depo gerektiriyorsa veya taahhüt edilmişse taahhüt mesajları, kullanıcı adları, e-posta adresleri ve şifreler veya API anahtarları dahildir.”
Bu olay, işletmelerin ve kuruluşların tüm hizmetlerde görünürlüğe sahip olmasının ve olası saldırı yüzeylerini tutarlı bir şekilde yönetmek ve tehditleri azaltmak için bu yüzeyler hakkında net bir görüşe sahip olmasının kritik önem taşıdığını açıkça hatırlatıyor.
Outpost24’ün tehdit istihbaratı başkanı Victor Acin, Dark Reading’e e-postayla gönderilen bir açıklamada, “Birçok ihlal, dahili hizmetlerin yanlışlıkla kamuya açık İnternet’e maruz kalması nedeniyle meydana geliyor ve bu da onları kötü niyetli aktörler için kolay hedefler haline getiriyor.” diye yazdı.
Acin, işletmelerin “uygun bir dış saldırı yüzey yönetimi” uygulamasını tavsiye etti (EASM) platformu” Potansiyel yanlış yapılandırmaları takip etmek ve BT’yi gölgede bırakmak için.
Özel veri havuzlarının güya güvenli olduğu durumlarda bile ek korumalar eklemeye ve bilgilerin kilitlenmesini sağlamaya değer.
