Araştırmacılar, S3 kovalarını şifrelemek için 1.200’den fazla çalıntı AWS erişim anahtarlarından yararlanan büyük ölçekli bir fidye yazılımı kampanyası ortaya koyuyor. Saldırganların SSE-C’yi sessizce nasıl kullandıklarını ve bulut güvenliği için temel çıkarımları öğrenin.
Araştırmacılar Amazon Web Services (AWS) ile ilgili bir güvenlik olayı ortaya çıkardılar. Hackread.com ile paylaşılan CyberNews ‘raporuna göre, fidye yazılımı saldırıları 1.200 benzersiz AWS erişim anahtarları kullanılarak piyasaya sürülüyor. AWS S3 kovaları kullanan yöneticiler (AWS tarafından sunulan bir tür bulut depolama türü) dosyalarını geride kalan bir fidye notu ile kilitli bulurlar.
Araştırmacıların, yinelenen girişleri kaldırdıktan sonra “Access Anahtar Kimliği ve ilgili Gizli Erişim Anahtarı” ile 1.229 benzersiz oturum açma kimlik bilgileri dahil 158 milyondan fazla AWS Gizli Anahtar Kaydı olan bir veritabanı keşfettikleri bildirildi. Bazıları artık aktif değildi, ancak saldırganların S3 kova içeriğini görmesine ve 0.3 BTC (yaklaşık 25.000 $) fidye talep etmesine izin verdi.
Daha da kötüsü, veri sahipleri şifreleme olayının farkında değildi, çünkü saldırganlar AWS S3’ün müşteri tarafından sağlanan anahtarlarla (SSE-C) sunucu tarafı şifrelemesi adı verdiler. Bu yöntem, kullanıcıların istirahatteki verileri şifrelemek için kendi şifreleme anahtarlarını sağlamalarını sağlar. Bu durumda, saldırganlar verileri kilitlemek için AES-256 adlı bir standart kullanarak kendi güçlü şifreleme anahtarlarını oluşturdular.
Halcyon Rise ekibi tarafından belgelenen bu “sessiz uzlaşma” tekniği, tipik uyarıları veya dosya silme günlüklerini tetiklemedi ve depolama kovası yapısı değişmeden kaldı. Çift gasp saldırılarının aksine, saldırganlar veri çalmadı, ancak kurbanları hızlı bir şekilde ödemeleri için AWS içindeki otomatik silme programları ayarlamış olabilirler. Araştırmacılar, etkilenen bazı hesapların normal çalıştığı bulunmuştur, bazı kurbanların verilerinin şifrelendiğini fark etmeyebileceğini düşündürmektedir.
The CyberNews raporuna göre, siber güvenlik araştırmacısı Bob Diachenko, karmaşık hack tekniklerinden ziyade sadece çalıntı anahtarlara dayandığı için hem benzeri görülmemiş hem de tehlikeli koordineli bir gasp kampanyası belirledi. Bu, yeni oluşturulan, boş yedeklerin bile gelecekteki projelerde risk altında olabileceği anlamına gelir.
Peki, saldırganlar nasıl bu kadar çok sayıda AWS tuşunu toplayabilirler?
Araştırmacılar, GitHub gibi gizli giriş ayrıntılarını kamu kodu depolama sitelerine, Jenkins gibi CI/CD araçlarındaki zayıflıklar, web uygulamalarında yanlış yapılandırılmış özel dosyalar, geliştirici araçlarının veya şifre yöneticilerinin veri ihlallerinin ve eski ve işlenmemiş IAM kullanıcı hesaplarının, mobil uygulamalarda sertleşmiş olabileceğine inanıyor.
Bununla birlikte, saldırganların kimlikleri hala belirsizdir ve tüm operasyon otomatik görünmektedir. Fidye notları “UYARI.TXT” başlıklı bir dosyada bulunur. İlginç bir şekilde, etkilenen her S3 kovasının, ödeme için belirli bir Bitcoin adresi ve bir e -posta adresi ile kendine özgü bir notu vardır. awsdecrypttechie.comkurbanların onlarla iletişime geçmesi için.
CyberNews bu güvenlik sorununu AWS’ye bildirdi ve daha fazla bilgi için yanıtlarını bekliyor. Bu arada, AWS depolamasını güvence altına almak için araştırmacılar, kuruluşların IAM kimlik bilgilerini derhal denetlemelerini ve güncellemelerini, AWS güvenlik hizmetlerini uygulamalarını, maruz kalan sırlar için tarama yapmasını, kısa ömürlü jetonları ve en az ayrıcalığı uyguladıklarını ve SSE-C kullanımını ayrıntılı günlüğe göre kısıtlamalarını önermektedir.