Компания Sysdig, занимающаяся кибербезопасностью, обнаружила в открытом хранилище Amazon Web Services более 15 000 украденных учетных данных облачных сервисов.
В отчёте, опубликованном в среду, исследователи Sysdig сообщили, что глобальная операция под названием EMERALDWHALE похитила учётные данные облачных сервисов и почтовых сервисов, а также других сервисов, атакуя открытые конфигурации Git. Учётные данные, которые, по словам исследователей, содержали данные более 10 000 приватных репозиториев, были обнаружены в общедоступном хранилище AWS S3.
«EMERALDWHALE — не самая сложная операция, но ей всё же удалось собрать более 15 000 учётных данных», — говорится в отчёте . «Отличием была сама цель: раскрытие файлов конфигурации Git. Эти файлы и содержащиеся в них учётные данные предоставляют доступ к закрытым репозиториям, доступ к которым обычно затруднен».
Ссылаясь на данные журнала контейнера S3, исследователи заявили, что операция, по-видимому, была активна с августа по сентябрь и собирала информацию для спам- и фишинговых кампаний.
В контейнере содержалось более терабайта данных, включая вредоносные инструменты, ценные украденные учётные данные, файлы конфигурации Git и другие конфиденциальные файлы конфигурации, связанные с настройками веб-приложений, и многое другое. Хотя Sysdig отметил, что учётные данные можно продать по приемлемой цене, списки репозиториев Git, доступных в интернете, также могут стоить до 100 долларов за штуку. Исследователи Sysdig отметили, что «подпольный рынок учётных данных процветает, особенно для облачных сервисов».
По словам Sysdig, открытые каталоги git могут содержать конфиденциальную информацию о проекте, включая сообщения, имена пользователей, адреса электронной почты, пароли или ключи API, которые могут быть использованы для дальнейших атак или для продажи на рынке.
«Стоимость самих учётных данных может составлять сотни долларов за учётную запись. Сами учётные записи — не единственный способ заработка EMERALDWHALE; создаваемые ими списки целей также можно продавать на различных торговых площадках», — пишут исследователи Sysdig.
Хакеры использовали множество инструментов, продаваемых на подпольных торговых площадках, которые автоматически находят и проверяют учётные данные перед их загрузкой в контейнер S3. Многие из них принадлежали таким крупным сервисам, как GitHub, BitBucket и GitLab. Хотя злоумышленникам стало сложнее использовать учётные данные из репозиториев из-за более частых сканирований, выявляющих обнаруженные учётные данные, эта кампания демонстрирует, насколько сложно полностью защитить конфиденциальные данные.
Исследователи Sysdig также отметили, что подобные кампании требуют минимальных усилий, поскольку практически всё можно автоматизировать, а инструменты, работающие на временных системах, затрудняют атрибуцию. Более того, потенциальные злоумышленники могут легко найти необходимые инструменты на GitHub или приобрести курс, если им это интересно.
«Это быстрый заработок для злоумышленников. Они подтверждают валидность ключей и продают их пачками или через автомагазины, сайты и ботов в Telegram, не требующих никакого взаимодействия», — отмечается в отчёте.
Sysdig заявил, что кампания подчёркивает тот факт, что «одного лишь управления секретами недостаточно для обеспечения безопасности среды. Слишком много мест, откуда может произойти утечка учётных данных».
В отчёте, опубликованном в среду, исследователи Sysdig сообщили, что глобальная операция под названием EMERALDWHALE похитила учётные данные облачных сервисов и почтовых сервисов, а также других сервисов, атакуя открытые конфигурации Git. Учётные данные, которые, по словам исследователей, содержали данные более 10 000 приватных репозиториев, были обнаружены в общедоступном хранилище AWS S3.
«EMERALDWHALE — не самая сложная операция, но ей всё же удалось собрать более 15 000 учётных данных», — говорится в отчёте . «Отличием была сама цель: раскрытие файлов конфигурации Git. Эти файлы и содержащиеся в них учётные данные предоставляют доступ к закрытым репозиториям, доступ к которым обычно затруднен».
Ссылаясь на данные журнала контейнера S3, исследователи заявили, что операция, по-видимому, была активна с августа по сентябрь и собирала информацию для спам- и фишинговых кампаний.
В контейнере содержалось более терабайта данных, включая вредоносные инструменты, ценные украденные учётные данные, файлы конфигурации Git и другие конфиденциальные файлы конфигурации, связанные с настройками веб-приложений, и многое другое. Хотя Sysdig отметил, что учётные данные можно продать по приемлемой цене, списки репозиториев Git, доступных в интернете, также могут стоить до 100 долларов за штуку. Исследователи Sysdig отметили, что «подпольный рынок учётных данных процветает, особенно для облачных сервисов».
По словам Sysdig, открытые каталоги git могут содержать конфиденциальную информацию о проекте, включая сообщения, имена пользователей, адреса электронной почты, пароли или ключи API, которые могут быть использованы для дальнейших атак или для продажи на рынке.
«Стоимость самих учётных данных может составлять сотни долларов за учётную запись. Сами учётные записи — не единственный способ заработка EMERALDWHALE; создаваемые ими списки целей также можно продавать на различных торговых площадках», — пишут исследователи Sysdig.
Хакеры использовали множество инструментов, продаваемых на подпольных торговых площадках, которые автоматически находят и проверяют учётные данные перед их загрузкой в контейнер S3. Многие из них принадлежали таким крупным сервисам, как GitHub, BitBucket и GitLab. Хотя злоумышленникам стало сложнее использовать учётные данные из репозиториев из-за более частых сканирований, выявляющих обнаруженные учётные данные, эта кампания демонстрирует, насколько сложно полностью защитить конфиденциальные данные.
Исследователи Sysdig также отметили, что подобные кампании требуют минимальных усилий, поскольку практически всё можно автоматизировать, а инструменты, работающие на временных системах, затрудняют атрибуцию. Более того, потенциальные злоумышленники могут легко найти необходимые инструменты на GitHub или приобрести курс, если им это интересно.
«Это быстрый заработок для злоумышленников. Они подтверждают валидность ключей и продают их пачками или через автомагазины, сайты и ботов в Telegram, не требующих никакого взаимодействия», — отмечается в отчёте.
Sysdig заявил, что кампания подчёркивает тот факт, что «одного лишь управления секретами недостаточно для обеспечения безопасности среды. Слишком много мест, откуда может произойти утечка учётных данных».
