'Elektra-Leak' Saldırganları GitHub Kampanyasında AWS Bulut Anahtarlarını Topluyor - Dünyadan Güncel Teknoloji Haberleri

'Elektra-Leak' Saldırganları GitHub Kampanyasında AWS Bulut Anahtarlarını Topluyor - Dünyadan Güncel Teknoloji Haberleri
Birçok kuruluş GitHub depolarını klonlayarak geliştirme ortamlarında deponun yerel bir kopyasına sahip olmalarını sağlar Aslında saldırgan, Palo Alto’nun kasıtlı olarak açığa çıkan anahtarlarını GitHub’da fark ettiğinde, AWS bunları zaten karantinaya almıştı Saldırganlar daha sonra Monero kripto madenciliği için Google Drive’da saklanan bir veriyi indirdiler Güvenlik sağlayıcısı, “Kuruluşların üretim ortamında herhangi bir dinamik işlevi gerçekleştirmek için kısa ömürlü kimlik bilgileri kullanmasını önemle tavsiye ediyoruz” dedi

Amazon’un Karantina Korumasını Atlamak mı?

Palo Alto araştırmacıları, bal küpü uygulamasının bir parçası olarak AWS anahtarlarını kasıtlı olarak halka açık bir GitHub deposunda açığa çıkardıklarında, AWS’nin açığa çıkan anahtarları hızlı bir şekilde tespit ettiğini ve anahtarların kötüye kullanılmasını önleyen bir karantina politikası uyguladığını gördüler ”

Contrast Security’nin kurucu ortağı ve CTO’su Jeff Williams, kampanyanın kuruluşların temel güvenlik uygulamalarını uygulamadaki hayal kırıklığı yaratan başarısızlığını vurguladığını söyledi Raporda, saldırganın otomatik taramayı bir VPN’in arkasından yapması ve yükleri hazırlamak için Google Drive’ı kullanmasının, Palo Alto araştırmacılarının düşmanın coğrafi konumunu tespit etmesini zorlaştırdığı da belirtildi

Kampanyayı “Elektra-Leak” olarak takip eden Palo Alto Networks araştırmacıları, bu hafta saldırganın ağustos ayına kadar kripto madenciliği için en az 474 benzersiz geniş formatlı veya hesaplama için optimize edilmiş Amazon EC2 örneği oluşturduğunu gözlemlediklerini söyledi

Güvenlik sağlayıcısı, Monero’nun gizlilik korumalarının Palo Alto araştırmacılarının ilgili cüzdanları takip etmesini engellediğini, dolayısıyla tehdit aktörünün şu ana kadar ne kadar kripto para birimi madenciliği yaptığına dair herhangi bir rakam elde etmenin mümkün olmadığını söyledi 30 ve 6 Ekim Palo Alto araştırmacıları, ilk keşif çalışmasının ardından tehdit aktörünün, hesap aracılığıyla erişebildikleri herhangi bir AWS bölgesi için bölge başına birden fazla EC2 örneğini başlatmak üzere bir AWS API kullandığını buldu



Saldırganlar, kripto para birimi madenciliği amacıyla AWS Elastic Compute (EC2) örnekleri oluşturmak için açıktaki Amazon Web Services (AWS) kimlik ve erişim yönetimi (IAM) kimlik bilgilerini kamuya açık GitHub depolarında aktif olarak topluyor

Tehdit aktörünün kripto madenciliği için EC2 hesapları oluşturmak amacıyla açık anahtarları hâlâ kullanabilmesi, AWS’nin bulamadığı açık anahtarları bulabildiklerini gösteriyor “Ancak geliştiricileri suçlamak da adil değil Williams, e-postayla gönderdiği bir yorumda, “Karmaşık değil, sadece anahtarlarınızı halka açık olarak paylaşmıyorsunuz” dedi Amazon, bu tür suiistimallere karşı koruma sağlamak amacıyla, maruz kaldıktan sonraki birkaç dakika içinde karantina politikalarını başarılı bir şekilde uygulamaya koymasına rağmen, saldırgan, AWS EC2 bulut sunucuları oluşturmak için açığa çıkan anahtarları kullanabildi Bu tür binlerce sorun var ve bunların hepsinde mükemmel performans göstermeleri gerekiyor, aksi takdirde aptal veya tembel oldukları için sürüklenmeleri gerekiyor” dedi bu hafta rapor ver

Hızlı Tespit ve Kötüye Kullanım

Bu hafta yayınlanan bir raporda araştırmacılar, kampanyayı, tehdit aktörünün IAM kimlik bilgilerinin halka açık GitHub deposunda ifşa edilmesinden sonraki yalnızca beş dakika içinde tam teşekküllü bir saldırı başlatma becerisi açısından dikkate değer olarak nitelendirdi Gerçekten yardımcı olabilecek şeyin, geliştiricilerin iyi seçimler yapmasını kolaylaştıran kimlik doğrulama sistemleri olduğunu ekledi ”

Palo Alto araştırmacıları, Elektra-Leak kampanyasını, şirketin yeni ve ortaya çıkan bulut güvenliği tehditlerine ilişkin tehdit istihbaratı toplamak için uyguladığı bir bal tuzağı aracılığıyla keşfetti Kampanyaya ilişkin araştırmaları, tehdit aktörünün büyük olasılıkla herkese açık GitHub depolarını sürekli olarak klonlamak ve açıkta kalan AWS anahtarlarını bulmak için otomatik araçlar kullandığını gösterdi “Bu durumda tehdit aktörü, kurbanlardan kaynak çalmaya yönelik kötü niyetli eylemlerine müdahale edecek hiçbir politika olmadan saldırıya devam edebilir

Tehdit aktörünün Palo Alto’nun bal küpüne yaptığı saldırılardan elde edilen veriler, saldırganın bir VPN arkasından halka açık GitHub depolarını gerçek zamanlı olarak taradığını ve ilgili AWS hesabı üzerinde keşif gerçekleştirmek için açığa çıkan AWS anahtarlarını kullandığını gösterdi

Palo Alto, AWS IAM kimlik bilgilerini yanlışlıkla açığa çıkarmış olabilecek kuruluşların, kimlik bilgilerine bağlı API bağlantılarını derhal iptal etmesini önerdi “Kampanyanın neden hala aktif olduğuna dair çeşitli spekülasyonlar arasında, bu kampanyanın yalnızca açığa çıkan GitHub kimlik bilgilerine veya Amazon EC2 bulut sunucusu hedeflemesine odaklanmadığı yer alıyor



siber-1

Palo Alto raporunda “Kanıtlarımıza göre muhtemelen öyle yaptılar” dedi Ayrıca kimlik bilgilerini kaldırmaları ve yeni AWS kimlik bilgileri oluşturmaları gerekir

Palo Alto araştırmacıları William Gamazo ve Nathaniel Quist, “Başarılı AWS karantina politikalarına rağmen kampanya, ele geçirilen kurban hesaplarının sayısı ve sıklığında sürekli dalgalanmayı sürdürüyor” dedi