Siber suçlular, kuruluşların bulut depolama konteynerlerine giriyor, hassas verilerini sızdırıyor ve birçok durumda, çalınan verileri sızdırmamaları veya satmamaları için kurban kuruluşlar tarafından kendilerine ödeme yapılıyor.
Palo Alto Networks araştırmacılarına göre, “Bu kampanyanın arkasındaki saldırganlar, başarılı ve hızlı bir şekilde faaliyet gösterebilmek için büyük ihtimalle kapsamlı otomasyon tekniklerinden yararlandılar.”
Açık ortam dosyaları, bulut ortamlarına ev sahipliği yapmanın anahtarlarını tutar
Saldırganlar, ifşa edilmiş ortam dosyalarını tarayarak ve bunlardan yararlanarak bulut depolama konteynerlerine erişim sağladılar (.çevre) kurban organizasyonunun web uygulamaları içinde. (Herkese açık) .çevre (dosyalar sunucunun yanlış yapılandırılmasının sonucudur.)
“Bu dosyalar genellikle sabit kodlu bulut sağlayıcısı gibi sırlar içerir [Identity and Access Management (IAM)] Araştırmacılar, tehdit aktörü tarafından ilk erişim için kullanılan anahtarlar, yazılım hizmeti olarak (SaaS) API anahtarları ve veritabanı oturum açma bilgilerinin kaydedildiğini belirtti.
“İnternette etki alanlarını tarayıp, ifşa edilmiş ortam değişken dosyalarından elde edilen kimlik bilgilerini kullanma saldırı örüntüsü, diğer tehlikeye atılmış AWS ortamlarına yayıldığına inandığımız daha geniş bir örüntüyü takip ediyor.”
Saldırganlar, içeri girdikten sonra kurban kuruluşun bulut ortamını keşfederek şunları yaptı:
- IAM kimlik bilgilerine atanan kullanıcının veya rolün kimliğini doğrulayın
- AWS hesabındaki diğer IAM kullanıcılarının bir listesini ve mevcut S3 kovalarının bir listesini oluşturun
- Kullanımda olan hizmetleri bulun, örneğin Basit Depolama Hizmeti, Güvenlik Belirteci Hizmeti, Basit E-posta Hizmeti.
Daha sonra, tehlikeye atılan AWS hesabında yönetici izinlerine (yani sınırsız erişime) sahip olacak yeni roller oluşturmak için orijinal IAM rolünü kullandılar.
Bu, onların kripto madenciliği için Amazon Elastic Cloud Compute (EC2) kaynakları oluşturmalarına (yaratmayı denemelerine) ve çeşitli etki alanlarında açığa çıkan ortam değişken dosyaları için otomatik internet çapında tarama gerçekleştirmek üzere AWS Lambda işlevleri oluşturmalarına olanak sağladı.
Araştırmacılar, “Alan adının açığa çıkan ortam dosyasını başarıyla aldıktan sonra, lambda işlevi dosyada bulunan açık metin kimlik bilgilerini ortaya çıkardı ve tanımladı. Lambda işlevi kimlik bilgilerini tanımladıktan sonra, bunları tehdit aktörü tarafından kontrol edilen başka bir genel S3 kovasında yeni oluşturulan bir klasörde sakladı” diye paylaştı.
“Kötü amaçlı lambda işlevi, özellikle şu örnekleri hedef aldı: .çevre dosya dizeye başvurdu posta tabancası. Bu tehlikeye atılmış Mailgun kimlik bilgileriyle, tehdit aktörleri meşru etki alanlarından kuruluşlara karşı büyük ölçekli kimlik avı saldırıları gönderebilir ve saldırılarının güvenlik korumalarını aşma olasılığını artırabilir.”
Fidye notu (Kaynak: Palo Alto Networks, Unit 42)
Son olarak, S3 Tarayıcı aracını kullanarak kurbanların S3 kovalarından veri ve nesneleri sızdırdılar ve bir fidye notu yüklediler. Bazen, aynı fidye notunu kurban şirketin paydaşlarına da gönderdiler.
Kuruluşunuz kurban olabilir mi?
İlginçtir ki, saldırganların çalınan verileri depolamak ve görüntülemek için kullandıkları S3 kovası .çevre Dosyalar aynı zamanda kamuoyuna da açık olduğundan, araştırmacılar dosyaların ne tür kimlik bilgileri içerdiğini de görmeyi başardılar.
“Erişim anahtarları veya IAM kimlik bilgileri içeren 90.000’den fazla benzersiz sızdırılmış ortam değişkeni kombinasyonunu belirledik ve 7.000 erişim anahtarı doğrudan çeşitli bulut hizmetleriyle ilişkilendirildi [AWS, PayPal, GitHub, Slack, etc.]En endişe verici olanı, sızdırılan değişkenlerin 1.515’inin sosyal medya platformlarıyla ilişkili olmasıydı; bunlardan bazıları hesap adlarını ve kimlik doğrulama gizli anahtarlarını içeriyordu” diye paylaştılar.
Açığa çıkan çevresel değişkenler saldırganların bu kadar başarılı olmasını sağlayan şeylerden sadece biriydi. Bir diğeri ise IAM kaynaklarıyla ilişkili izinlerin çok geniş olmasıydı.
Araştırmacılar, kuruluşların verilerinin bu şekilde fidye karşılığında ele geçirilmesini önlemek için alabilecekleri birkaç önlemi özetlediler:
- Çevresel ve diğer dosyaların ifşa edilmesini önlemek için sunucuları düzgün bir şekilde yapılandırın
- IAM anahtarları geçici olduğundan, IAM rollerini IAM anahtarları yerine kullanın
- İzinleri sağlarken en az ayrıcalık ilkesini kullanın
- AWS hesabındaki kullanılmayan tüm bölgeleri devre dışı bırakın (böylece saldırganların saklanacak daha az “alanı” olur)
- Anormal aktiviteler için uyarı almak amacıyla günlük kaydını ve izlemeyi etkinleştirin