От Git до черного рынка: как заработать миллион на слабой защите

От Git до черного рынка: как заработать миллион на слабой защите

Куда ведут следы похищенных из Git данных?

image

Команда Sysdig обнаружила масштабную хакерскую операцию EMERALDWHALE, которая нацелена на незащищенные настройки Git-репозиториев. Хакеры уже украли более 15 000 учетных записей для облачных сервисов, используя скрытые инструменты для взлома конфигураций.

Киберпреступники проникали в репозитории и извлекали пароли, API-ключи и другую чувствительную информацию, которая затем сохранялась в публичном хранилище на облачном сервисе. EMERALDWHALE уже собрала данные из более 10 000 закрытых репозиториев и хранила их в Amazon S3 одного из предыдущих пострадавших.

Основная цель хакеров — получить доступ к учетным данным облачных сервисов, электронных ящиков и других веб-сервисов. Основные цели операции — рассылка спама и фишинговые атаки, так как аккаунты на таких сервисах могут приносить существенный доход. Данные затем используются для рассылки спама и фишинговых атак. Кроме того, EMERALDWHALE зарабатывает, продавая списки украденных аккаунтов на черном рынке, так как учетные записи и пароли могут быть проданы за приличные суммы.

Все началось, когда Sysdig заметила подозрительные попытки доступа к одному из своих тестовых хранилищ. В ходе расследования было обнаружено хранилище, полное украденных данных и вредоносных инструментов. Среди них были скрипты, которые сканируют интернет на уязвимые Git-репозитории и автоматически скачивают их содержимое. Это позволило хакерам находить незащищенные файлы и извлекать оттуда информацию.

В процессе атаки также задействуются популярные инструменты, такие как httpx для массового сканирования серверов и Masscan для составления базы активных IP-адресов. Помимо всего прочего, похищенные учетные данные обрабатываются и сортируются для дальнейшего использования.

Sysdig также обнаружила инструменты MZR V2 и Seyzo-v2, используемые для взлома настроек Git и поиска данных.

  • MZR V2 — это коллекция скриптов, созданных для автоматизации сканирования и анализа данных в конфигурационных файлах Git;
  • Seyzo-v2 также ориентирован на сбор данных из репозиториев, но с большим акцентом на учетные записи, которые затем используются для фишинга и спама.

Данная кампания показала, что проблема безопасности репозиториев Git заключается не только в секретах, но и в отсутствии должного контроля над доступом. Специалисты отметили, что стандартные инструменты безопасности AWS и GitHub могут отслеживать и ограничивать использование ключей, но количество мест, откуда могут утекать данные, увеличивается.

Ищем уязвимости в системе и новых подписчиков!

Первое — находим постоянно, второе — ждем вас

Эксплойтните кнопку подписки прямо сейчас