Araştırmacılar, bulut depolama konteynerlerindeki verileri fidye almak için yanlış yapılandırılmış AWS ortam değişken dosyalarını (.env dosyaları) kullanarak 100.000’den fazla etki alanını hedef alan bir gasp kampanyasını ortaya çıkardı.
Karmaşık bulut gaspı kampanyası, kampanyanın hızını ve başarısını artırmak için otomasyon tekniklerini ve bulut mimarisine ilişkin kapsamlı bilgiyi kullandı ve güçlü kimlik doğrulama ve erişim kontrolleri, veri şifreleme, güvenli yapılandırma yönetimi, izleme ve günlük kaydı gibi bulut güvenliği en iyi uygulamalarına olan ihtiyacı vurguladı.
Birden Fazla Güvenlik Arızası AWS Bulut Gasp Kampanyasını Tetikledi
Palo Alto Networks’ün 42. Birimi’nden araştırmacılar, saldırganların bulut kullanıcılarının birden fazla güvenlik hatası nedeniyle çok sayıda uygulamadan kimlik bilgileri gibi hassas bilgiler içeren .env dosyalarından yararlanabildiklerini söyledi. Bunlar şunları içerir:
- Açığa çıkan ortam değişkenleri
- Uzun ömürlü kimlik bilgilerinin kullanımı
- En az ayrıcalıklı mimarinin yokluğu
Araştırmacılar, saldırı kampanyasının altyapısını kuruluşların AWS ortamlarına kurduğunu ve “bu temel çalışmayı kullanarak 230 milyondan fazla benzersiz hedefi hassas bilgiler açısından taradı” diye yazdı.
Kampanya 110.000 etki alanını hedef aldı ve .env dosyalarında 90.000’den fazla benzersiz değişkenle sonuçlandı. Bu değişkenlerden 7.000’i kuruluşların bulut hizmetlerine aitti ve 1.500 değişken sosyal medya hesaplarına kadar izlendi.
Saldırganlar, operasyonlarında sanal özel sunucu (VPS) uç noktaları, keşif ve ilk erişim operasyonları için soğan yönlendirici (Tor) ağı ve yanal hareket ve veri sızdırma için VPN’ler gibi birden fazla ağ ve araç kullandılar.
Araştırmacılar, saldırganların bulut depolama konteynerlerinde barındırılan verileri başarıyla fidye aldığını söyledi. Fidye öncesinde verileri şifrelemediler, bunun yerine verileri sızdırdılar ve tehlikeye atılan konteynere bir fidye notu yerleştirdiler (aşağıdaki örnek).
Araştırmacılar, “Bu kampanyanın arkasındaki saldırganlar muhtemelen başarılı ve hızlı bir şekilde faaliyet göstermek için kapsamlı otomasyon tekniklerinden yararlandılar,” dedi. “Bu, bu tehdit aktörü gruplarının gelişmiş bulut mimarisi süreçleri ve teknikleri konusunda hem yetenekli hem de bilgili olduğunu gösteriyor.”
Saldırının “kurban kuruluşlardaki .env dosyalarını yanlışlıkla ifşa eden yanlış yapılandırmalara dayandığını” vurguladılar. “Bu, bulut sağlayıcılarının hizmetlerindeki güvenlik açıklarından veya yanlış yapılandırmalardan kaynaklanmadı.”
Tehdit aktörlerinin nerede bulunduğu veya bilinen herhangi bir tehdit grubuyla bağlantılı olup olmadıkları henüz belli değil; ancak araştırmacılar, Ukrayna’da konumlanmış ve erken aşama ayrıcalık yükseltme faaliyetinin parçası olan bir İSS IP adresi ve Fas’ta konumlanmış ve S3 erişimi ve sızdırma ile ilişkili ikinci bir İSS IP adresi buldu.
“Kullanıcı aracılarına ve API çağrıları arasındaki zamana dayanarak, tehdit aktörünün bu erişim işlemlerini manuel olarak gerçekleştirdiğini ve bu sayede tehdit aktörünün olası fiziksel konumunun sızdırıldığını belirledik” diye yazdılar.
İlk Erişim Sızdırılan AWS IAM Kimlik Bilgilerinden Geldi
Çevre dosyaları, kullanıcıların uygulamalar ve platformlar içerisinde kullanılan yapılandırma değişkenlerini tanımlamalarına olanak tanır ve genellikle tehdit aktörlerinin ilk erişim için kullandığı sabit kodlu bulut erişim anahtarları, SaaS API anahtarları ve veritabanı oturum açma bilgileri gibi sırları içerir.
Araştırmacılar, “İnternette etki alanlarını tarayıp, ifşa olmuş ortam değişken dosyalarından elde edilen kimlik bilgilerini kullanma saldırı örüntüsü, diğer tehlikeye atılmış AWS ortamlarına yayıldığına inandığımız daha geniş bir örüntüyü takip ediyor” dedi.
Tehdit aktörleri, güvenli olmayan web uygulamalarında barındırılan açığa çıkmış .env dosyalarını tarayıp tanımlayarak açığa çıkmış AWS Kimlik ve Erişim Yönetimi (IAM) erişim anahtarlarını elde etmeyi başardılar.
“Kuruluşların bulut ortamlarına ilk erişime yol açan bulut IAM kimlik bilgilerini hedef alan saldırganların artan bir eğilimini görmeye devam ediyoruz,” diye yazdılar. “Bu özel tehdit için en yaygın ilk erişim vektörleri, kuruluşların sunucuları yanlışlıkla yanlış yapılandırması ve ardından hassas dosyaları genel internete ifşa etmesiyle ortaya çıkıyor; en sık ifşa edilen dosyalar .env dosyalarıdır.”
IAM kimlik bilgileri tüm bulut kaynaklarına yönetici erişimine sahip olmasa da saldırganlar ilk erişim için kullanılan IAM rolünün “hem yeni IAM rolleri oluşturma hem de mevcut rollere IAM politikaları ekleme izinlerine sahip olduğunu keşfetti. Bu yetenekleri kullanarak saldırgan, sınırsız erişime sahip yeni IAM kaynakları oluşturarak kurban bulut ortamlarındaki ayrıcalıklarını başarıyla artırdı.”
Saldırganlar, otomatik tarama işlemleri için yeni AWS Lambda işlevleri oluşturmayı başardılar.