'Elektra-Leak' Saldırganları GitHub Kampanyasında AWS Bulut Anahtarlarını Topluyor - Dünyadan Güncel Teknoloji Haberleri

'Elektra-Leak' Saldırganları GitHub Kampanyasında AWS Bulut Anahtarlarını Topluyor - Dünyadan Güncel Teknoloji Haberleri
Saldırganlar daha sonra Monero kripto madenciliği için Google Drive’da saklanan bir veriyi indirdiler Amazon, bu tür suiistimallere karşı koruma sağlamak amacıyla, maruz kaldıktan sonraki birkaç dakika içinde karantina politikalarını başarılı bir şekilde uygulamaya koymasına rağmen, saldırgan, AWS EC2 bulut sunucuları oluşturmak için açığa çıkan anahtarları kullanabildi

Hızlı Tespit ve Kötüye Kullanım

Bu hafta yayınlanan bir raporda araştırmacılar, kampanyayı, tehdit aktörünün IAM kimlik bilgilerinin halka açık GitHub deposunda ifşa edilmesinden sonraki yalnızca beş dakika içinde tam teşekküllü bir saldırı başlatma becerisi açısından dikkate değer olarak nitelendirdi

Palo Alto, AWS IAM kimlik bilgilerini yanlışlıkla açığa çıkarmış olabilecek kuruluşların, kimlik bilgilerine bağlı API bağlantılarını derhal iptal etmesini önerdi

Tehdit aktörünün kripto madenciliği için EC2 hesapları oluşturmak amacıyla açık anahtarları hâlâ kullanabilmesi, AWS’nin bulamadığı açık anahtarları bulabildiklerini gösteriyor bu hafta rapor ver

Tehdit aktörünün Palo Alto’nun bal küpüne yaptığı saldırılardan elde edilen veriler, saldırganın bir VPN arkasından halka açık GitHub depolarını gerçek zamanlı olarak taradığını ve ilgili AWS hesabı üzerinde keşif gerçekleştirmek için açığa çıkan AWS anahtarlarını kullandığını gösterdi Birçok kuruluş GitHub depolarını klonlayarak geliştirme ortamlarında deponun yerel bir kopyasına sahip olmalarını sağlar Bu tür binlerce sorun var ve bunların hepsinde mükemmel performans göstermeleri gerekiyor, aksi takdirde aptal veya tembel oldukları için sürüklenmeleri gerekiyor” dedi “Bu durumda tehdit aktörü, kurbanlardan kaynak çalmaya yönelik kötü niyetli eylemlerine müdahale edecek hiçbir politika olmadan saldırıya devam edebilir ”

Contrast Security’nin kurucu ortağı ve CTO’su Jeff Williams, kampanyanın kuruluşların temel güvenlik uygulamalarını uygulamadaki hayal kırıklığı yaratan başarısızlığını vurguladığını söyledi Palo Alto raporunda “Kanıtlarımıza göre muhtemelen öyle yaptılar” dedi

Palo Alto araştırmacıları William Gamazo ve Nathaniel Quist, “Başarılı AWS karantina politikalarına rağmen kampanya, ele geçirilen kurban hesaplarının sayısı ve sıklığında sürekli dalgalanmayı sürdürüyor” dedi “Kampanyanın neden hala aktif olduğuna dair çeşitli spekülasyonlar arasında, bu kampanyanın yalnızca açığa çıkan GitHub kimlik bilgilerine veya Amazon EC2 bulut sunucusu hedeflemesine odaklanmadığı yer alıyor Güvenlik sağlayıcısı, “Kuruluşların üretim ortamında herhangi bir dinamik işlevi gerçekleştirmek için kısa ömürlü kimlik bilgileri kullanmasını önemle tavsiye ediyoruz” dedi



siber-1

Güvenlik sağlayıcısı, Monero’nun gizlilik korumalarının Palo Alto araştırmacılarının ilgili cüzdanları takip etmesini engellediğini, dolayısıyla tehdit aktörünün şu ana kadar ne kadar kripto para birimi madenciliği yaptığına dair herhangi bir rakam elde etmenin mümkün olmadığını söyledi Aslında saldırgan, Palo Alto’nun kasıtlı olarak açığa çıkan anahtarlarını GitHub’da fark ettiğinde, AWS bunları zaten karantinaya almıştı Gerçekten yardımcı olabilecek şeyin, geliştiricilerin iyi seçimler yapmasını kolaylaştıran kimlik doğrulama sistemleri olduğunu ekledi Ayrıca kimlik bilgilerini kaldırmaları ve yeni AWS kimlik bilgileri oluşturmaları gerekir ”

Palo Alto araştırmacıları, Elektra-Leak kampanyasını, şirketin yeni ve ortaya çıkan bulut güvenliği tehditlerine ilişkin tehdit istihbaratı toplamak için uyguladığı bir bal tuzağı aracılığıyla keşfetti “Ancak geliştiricileri suçlamak da adil değil Kampanyaya ilişkin araştırmaları, tehdit aktörünün büyük olasılıkla herkese açık GitHub depolarını sürekli olarak klonlamak ve açıkta kalan AWS anahtarlarını bulmak için otomatik araçlar kullandığını gösterdi Palo Alto araştırmacıları, ilk keşif çalışmasının ardından tehdit aktörünün, hesap aracılığıyla erişebildikleri herhangi bir AWS bölgesi için bölge başına birden fazla EC2 örneğini başlatmak üzere bir AWS API kullandığını buldu

Amazon’un Karantina Korumasını Atlamak mı?

Palo Alto araştırmacıları, bal küpü uygulamasının bir parçası olarak AWS anahtarlarını kasıtlı olarak halka açık bir GitHub deposunda açığa çıkardıklarında, AWS’nin açığa çıkan anahtarları hızlı bir şekilde tespit ettiğini ve anahtarların kötüye kullanılmasını önleyen bir karantina politikası uyguladığını gördüler



Saldırganlar, kripto para birimi madenciliği amacıyla AWS Elastic Compute (EC2) örnekleri oluşturmak için açıktaki Amazon Web Services (AWS) kimlik ve erişim yönetimi (IAM) kimlik bilgilerini kamuya açık GitHub depolarında aktif olarak topluyor Raporda, saldırganın otomatik taramayı bir VPN’in arkasından yapması ve yükleri hazırlamak için Google Drive’ı kullanmasının, Palo Alto araştırmacılarının düşmanın coğrafi konumunu tespit etmesini zorlaştırdığı da belirtildi 30 ve 6 Ekim Williams, e-postayla gönderdiği bir yorumda, “Karmaşık değil, sadece anahtarlarınızı halka açık olarak paylaşmıyorsunuz” dedi

Kampanyayı “Elektra-Leak” olarak takip eden Palo Alto Networks araştırmacıları, bu hafta saldırganın ağustos ayına kadar kripto madenciliği için en az 474 benzersiz geniş formatlı veya hesaplama için optimize edilmiş Amazon EC2 örneği oluşturduğunu gözlemlediklerini söyledi