2024-11-04T13:03:21+03:00
צוות סיסטיג התגלה פעולת פריצה בקנה מידה גדול EMERALDWHALE, המכוונת להגדרות מאגר Git לא מוגנות. האקרים כבר גנבו יותר מ-15,000 חשבונות שירותי ענן באמצעות כלי פריצה נסתרים של תצורה.
פושעי סייבר חדרו למאגרים וחילצו סיסמאות, מפתחות API ומידע רגיש אחר, שאוחסן אז בשירות אחסון ענן ציבורי. EMERALDWHALE כבר אספה נתונים מיותר מ-10,000 מאגרים פרטיים ואחסנה אותם באמזון S3 של אחד הקורבנות הקודמים.
המטרה העיקרית של האקרים היא להשיג גישה לאישורים של שירותי ענן, חשבונות דואר אלקטרוני ושירותי אינטרנט אחרים. המטרות העיקריות של הפעולה הן שליחת ספאם והתקפות פישינג, שכן חשבונות בשירותים כאלה יכולים לייצר הכנסה משמעותית. הנתונים משמשים לאחר מכן לשליחת ספאם והתקפות דיוג. בנוסף, EMERALDWHALE מרוויחה כסף על ידי מכירת רשימות של חשבונות גנובים בשוק השחור, מכיוון שניתן למכור חשבונות וסיסמאות בסכומים הגונים.
הכל התחיל כאשר Sysdig הבחינה בניסיונות חשודים לגשת לאחד ממאגרי הבדיקה שלה. החקירה חשפה כספת מלאה בנתונים גנובים וכלים זדוניים. ביניהם היו סקריפטים שסורקים את האינטרנט לאיתור מאגרי Git פגיעים ומורידים אוטומטית את תוכנם. זה אפשר להאקרים למצוא קבצים לא מוגנים ולחלץ מהם מידע.
המתקפה משתמשת גם בכלים פופולריים כמו httpx לסריקה המונית של שרתים ו-Masscan להידור מסד נתונים של כתובות IP פעילות. בין היתר, האישורים הגנובים מעובדים וממוינים לשימוש נוסף.
Sysdig גילתה גם את הכלים MZR V2 ו- Seyzo-v2 המשמשים לפריצת הגדרות Git ולכריית נתונים.
- MZR V2 הוא אוסף של סקריפטים שנוצרו כדי להפוך את הסריקה והניתוח של נתונים בקבצי תצורה של Git לאוטומטיים;
- Seyzo-v2 התמקדה גם באיסוף נתונים ממאגרים, אך עם דגש גדול יותר על חשבונות, המשמשים לאחר מכן לדיוג וספאם.
הקמפיין הזה הראה שהבעיה באבטחת מאגרי Git היא לא רק סודות, אלא גם היעדר בקרות גישה מתאימות. מומחים ציינו שכלי אבטחה סטנדרטיים של AWS ו- GitHub יכולים לנטר ולהגביל את השימוש במפתחות, אך מספר המקומות מהם יכולים לדלוף נתונים הולך וגדל.
2 תגובות
Your point of view caught my eye and was very interesting. Thanks. I have a question for you.
Your point of view caught my eye and was very interesting. Thanks. I have a question for you.