Куда ведут следы похищенных из Git данных?
Команда Sysdig обнаружила масштабную хакерскую операцию EMERALDWHALE, которая нацелена на незащищенные настройки Git-репозиториев. Хакеры уже украли более 15 000 учетных записей для облачных сервисов, используя скрытые инструменты для взлома конфигураций.
Киберпреступники проникали в репозитории и извлекали пароли, API-ключи и другую чувствительную информацию, которая затем сохранялась в публичном хранилище на облачном сервисе. EMERALDWHALE уже собрала данные из более 10 000 закрытых репозиториев и хранила их в Amazon S3 одного из предыдущих пострадавших.
Основная цель хакеров — получить доступ к учетным данным облачных сервисов, электронных ящиков и других веб-сервисов. Основные цели операции — рассылка спама и фишинговые атаки, так как аккаунты на таких сервисах могут приносить существенный доход. Данные затем используются для рассылки спама и фишинговых атак. Кроме того, EMERALDWHALE зарабатывает, продавая списки украденных аккаунтов на черном рынке, так как учетные записи и пароли могут быть проданы за приличные суммы.
Все началось, когда Sysdig заметила подозрительные попытки доступа к одному из своих тестовых хранилищ. В ходе расследования было обнаружено хранилище, полное украденных данных и вредоносных инструментов. Среди них были скрипты, которые сканируют интернет на уязвимые Git-репозитории и автоматически скачивают их содержимое. Это позволило хакерам находить незащищенные файлы и извлекать оттуда информацию.
В процессе атаки также задействуются популярные инструменты, такие как httpx для массового сканирования серверов и Masscan для составления базы активных IP-адресов. Помимо всего прочего, похищенные учетные данные обрабатываются и сортируются для дальнейшего использования.
Sysdig также обнаружила инструменты MZR V2 и Seyzo-v2, используемые для взлома настроек Git и поиска данных.
Данная кампания показала, что проблема безопасности репозиториев Git заключается не только в секретах, но и в отсутствии должного контроля над доступом. Специалисты отметили, что стандартные инструменты безопасности AWS и GitHub могут отслеживать и ограничивать использование ключей, но количество мест, откуда могут утекать данные, увеличивается.
Первое — находим постоянно, второе — ждем вас