Saldırganlar, kripto para birimi madenciliği amacıyla AWS Elastic Compute (EC2) örnekleri oluşturmak için açıktaki Amazon Web Services (AWS) kimlik ve erişim yönetimi (IAM) kimlik bilgilerini kamuya açık GitHub depolarında aktif olarak topluyor.
Kampanyayı “Elektra-Leak” olarak takip eden Palo Alto Networks araştırmacıları, bu hafta saldırganın ağustos ayına kadar kripto madenciliği için en az 474 benzersiz geniş formatlı veya hesaplama için optimize edilmiş Amazon EC2 örneği oluşturduğunu gözlemlediklerini söyledi. 30 ve 6 Ekim.
Hızlı Tespit ve Kötüye Kullanım
Bu hafta yayınlanan bir raporda araştırmacılar, kampanyayı, tehdit aktörünün IAM kimlik bilgilerinin halka açık GitHub deposunda ifşa edilmesinden sonraki yalnızca beş dakika içinde tam teşekküllü bir saldırı başlatma becerisi açısından dikkate değer olarak nitelendirdi. Amazon, bu tür suiistimallere karşı koruma sağlamak amacıyla, maruz kaldıktan sonraki birkaç dakika içinde karantina politikalarını başarılı bir şekilde uygulamaya koymasına rağmen, saldırgan, AWS EC2 bulut sunucuları oluşturmak için açığa çıkan anahtarları kullanabildi.
Palo Alto araştırmacıları William Gamazo ve Nathaniel Quist bu haftaki bir raporda, “Başarılı AWS karantina politikalarına rağmen kampanya, ele geçirilen kurban hesaplarının sayısında ve sıklığında sürekli dalgalanmayı sürdürüyor” dedi. “Kampanyanın neden hala aktif olduğuna dair çeşitli spekülasyonlar arasında, bu kampanyanın yalnızca açığa çıkan GitHub kimlik bilgilerine veya Amazon EC2 bulut sunucusu hedeflemesine odaklanmadığı yer alıyor.”
Palo Alto araştırmacıları, Elektra-Leak kampanyasını, şirketin yeni ve ortaya çıkan bulut güvenliği tehditlerine ilişkin tehdit istihbaratı toplamak için uyguladığı bir bal tuzağı aracılığıyla keşfetti. Kampanyaya ilişkin araştırmaları, tehdit aktörünün büyük olasılıkla herkese açık GitHub depolarını sürekli olarak klonlamak ve açıkta kalan AWS anahtarlarını bulmak için otomatik araçlar kullandığını gösterdi. Birçok kuruluş GitHub depolarını klonlayarak geliştirme ortamlarında deponun yerel bir kopyasına sahip olmalarını sağlar.
Tehdit aktörünün Palo Alto’nun bal küpüne yaptığı saldırılardan elde edilen veriler, saldırganın bir VPN arkasından halka açık GitHub depolarını gerçek zamanlı olarak taradığını ve ilgili AWS hesabı üzerinde keşif gerçekleştirmek için açığa çıkan AWS anahtarlarını kullandığını gösterdi. Palo Alto araştırmacıları, ilk keşif çalışmasının ardından tehdit aktörünün, hesap aracılığıyla erişebildikleri herhangi bir AWS bölgesi için bölge başına birden fazla EC2 örneğini başlatmak üzere bir AWS API kullandığını buldu. Saldırganlar daha sonra Monero kripto madenciliği için Google Drive’da saklanan bir veriyi indirdiler.
Güvenlik sağlayıcısı, Monero’nun gizlilik korumalarının Palo Alto araştırmacılarının ilgili cüzdanları takip etmesini engellediğini, dolayısıyla tehdit aktörünün şu ana kadar ne kadar kripto para birimi madenciliği yaptığına dair herhangi bir rakam elde etmenin mümkün olmadığını söyledi. Raporda, saldırganın otomatik taramayı bir VPN’in arkasından yapması ve yükleri hazırlamak için Google Drive’ı kullanmasının, Palo Alto araştırmacılarının düşmanın coğrafi konumunu tespit etmesini zorlaştırdığı da belirtildi.
Amazon’un Karantina Korumasını Atlamak mı?
Palo Alto araştırmacıları, bal küpü uygulamasının bir parçası olarak AWS anahtarlarını kasıtlı olarak halka açık bir GitHub deposunda açığa çıkardıklarında, AWS’nin açığa çıkan anahtarları hızlı bir şekilde tespit ettiğini ve anahtarların kötüye kullanılmasını önleyen bir karantina politikası uyguladığını gördüler. Aslında saldırgan, Palo Alto’nun kasıtlı olarak açığa çıkan anahtarlarını GitHub’da fark ettiğinde, AWS bunları zaten karantinaya almıştı.
Tehdit aktörünün kripto madenciliği için EC2 hesapları oluşturmak amacıyla açık anahtarları hâlâ kullanabilmesi, AWS’nin bulamadığı açık anahtarları bulabildiklerini gösteriyor. Palo Alto raporunda “Kanıtlarımıza göre muhtemelen öyle yaptılar” dedi. “Bu durumda tehdit aktörü, kurbanların kaynaklarını çalmaya yönelik kötü niyetli eylemlerine müdahale edecek hiçbir politika olmadan saldırıya devam edebilir.”
Contrast Security’nin kurucu ortağı ve CTO’su Jeff Williams, kampanyanın kuruluşların temel güvenlik uygulamalarını uygulamadaki hayal kırıklığı yaratan başarısızlığını vurguladığını söyledi. Williams, e-postayla gönderdiği bir yorumda, “Karmaşık değil, sadece anahtarlarınızı halka açık olarak paylaşmıyorsunuz” dedi. “Ancak geliştiricileri suçlamak da adil değil. Bu tür binlerce sorun var ve bunların hepsinde mükemmel performans göstermeleri gerekiyor, aksi takdirde aptal veya tembel oldukları için sürüklenmeleri gerekiyor” dedi. Gerçekten yardımcı olabilecek şeyin, geliştiricilerin iyi seçimler yapmasını kolaylaştıran kimlik doğrulama sistemleri olduğunu ekledi.
Palo Alto, AWS IAM kimlik bilgilerini yanlışlıkla açığa çıkarmış olabilecek kuruluşların, kimlik bilgilerine bağlı API bağlantılarını derhal iptal etmesini önerdi. Ayrıca kimlik bilgilerini kaldırmaları ve yeni AWS kimlik bilgileri oluşturmaları gerekir. Güvenlik sağlayıcısı, “Kuruluşların üretim ortamında herhangi bir dinamik işlevi gerçekleştirmek için kısa ömürlü kimlik bilgileri kullanmasını önemle tavsiye ediyoruz” dedi.