Siber suçlu çeteleri, milyonlarca sitenin savunmasız uç noktalar açısından taranmasını içeren toplu bir siber operasyonla Amazon Web Services (AWS) bulut kimlik bilgilerini ve binlerce kuruluştan diğer verileri çalmak için halka açık web sitelerindeki güvenlik açıklarından yararlandı.
Gevşek bir şekilde organize edilen CyberCyber Labs araştırma grubundan bağımsız siber güvenlik araştırmacıları Noam Rotem ve Ran Locar, operasyonu Ağustos ayında ortaya çıkardı ve bunu yetkililere bildirdi. vpnMentorHangi yayınlandı bulguları hakkında 9 Aralık’ta bir blog yazısı. Saldırganların bilinen tehdit grupları Nemesis ve ShinyHunters ile bağlantılı olduğu görülüyor; bunlardan ikincisi muhtemelen bu yılın başlarında yarım milyon kişiden veri çalan bir bulut ihlaliyle tanınıyor. Ticketmaster müşterileri.
“Bu ‘çetelerin her ikisi de’, kâr amacıyla geniş ölçekte faaliyet gösteren ve hizmetlerin karmaşıklığını veya bulut bilişimde sunulan kontrolleri tam olarak anlamadan bulut bilişime geçiş yapan kuruluşlardan gelen kontrollerdeki zayıflıkları tespit etmek için teknik becerilerini kullanan, teknik açıdan gelişmiş bir siber suç örgütünü temsil ediyor. ” Bulut kimliği ve güvenlik yönetimi firması Saviynt’in güven sorumlusu Jim Routh bunu belirtiyor.
Ancak ironik bir şekilde araştırmacılar, Fransızca konuşan saldırganların kendilerine ait bulut tabanlı bir hata yaptıklarında operasyonu keşfettiler; kurbanlardan toplanan verilerin bir kısmını 2 TB veri içeren bir AWS Basit Depolama Hizmeti (S3) klasöründe depoladılar. Gönderiye göre, veri sahibinin yanlış yapılandırması nedeniyle açık bırakıldı.
vpnMentor araştırma ekibi gönderide şöyle yazdı: “S3 paketi, saldırı grubu üyeleri arasında, kullandıkları araçların kaynak koduna dayalı olarak bir ‘paylaşılan sürücü’ olarak kullanılıyordu.”
Operasyonda çalınan veriler arasında altyapı kimlik bilgileri, özel kaynak kodu, uygulama veritabanları ve hatta ek harici hizmetlere ait kimlik bilgileri de yer alıyordu. Araştırmacılar, kovanın aynı zamanda operasyonu yürütmek için kullanılan kod ve yazılım araçlarının yanı sıra kurban ağlarından alınan binlerce anahtar ve sırrı da içerdiğini söyledi.
İki Parçalı Saldırı Dizisi
Araştırmacılar sonuçta keşif ve kullanımdan oluşan iki adımlı bir saldırı dizisini yeniden oluşturdular. vpnMentor ekibine göre saldırganlar, AWS’ye ait çok çeşitli IP’leri taramak için bir dizi komut dosyasıyla işe başladı ve “bilinen uygulama güvenlik açıklarının yanı sıra bariz hataları” aradı.
Saldırganlar, saldırı yüzeylerini genişletmek amacıyla AWS aralıklarında bulunan her bir IP adresiyle ilişkili alan adlarını almak için cephaneliklerindeki bir yardımcı programı kullanarak IP adreslerinde geriye doğru arama yapmak için BT arama motoru Shodan’ı kullandı. Etki alanı listesini daha da genişletmek amacıyla, her bir IP tarafından sunulan SSL sertifikasını da analiz ederek onunla ilişkili alan adlarını çıkardılar.
Hedefleri belirledikten sonra, önce açıkta kalan genel uç noktaları bulmak ve ardından sistemi Laravel, WordPress vb. gibi kategorilere ayırmak için bir tarama sürecine başladılar. Bu yapıldıktan sonra, veritabanı erişim bilgilerini çıkarmaya çalışarak daha ileri testler gerçekleştireceklerdi. AWS müşteri anahtarları ve sırları, parolalar, veritabanı kimlik bilgileri, Google ve Facebook hesabı kimlik bilgileri, kripto genel ve özel anahtarları (CoinPayment, Binance ve BitcoinD için) ve ürüne özel uç noktalardan daha fazlası.
Gönderiye göre “Her bir kimlik bilgisi seti, aktif olup olmadığını belirlemek için test edildi ve doğrulandı.” “Ayrıca operasyonun daha sonraki bir aşamasında kullanılmak üzere çıktı dosyalarına da yazıldılar.”
Açığa çıkan AWS müşteri kimlik bilgileri bulunup doğrulandığında saldırganlar ayrıca kimlik ve erişim yönetimi (IAM), Basit E-posta Hizmeti (SES), Basit Bildirim Hizmeti (SNS) ve S3 gibi önemli AWS hizmetlerindeki ayrıcalıkları da kontrol etmeye çalıştı.
Siber Saldırı İlişkilendirmesi ve AWS Yanıtı
Araştırmacılar, operasyonda kullanılan ve ShinyHunters’ın kullandığı araçlarla “aynı görünen” araçlar aracılığıyla failleri takip etti. Araçlar Fransızca olarak belgelendi ve bu yılın başlarında tutuklanan ve suçunu kabul eden ShinyHunters üyesi Sebastien Raoult’un takma adı olan “Sezyo Kaizen” tarafından imzalandı.
Araştırmacılar ayrıca Dark Web pazarının operatörü tarafından kullanılan bir imzayı da ele geçirdiler. “Nemesis Karaborsa” Çalınan erişim bilgilerinin ve spam için kullanılan hesapların satışına odaklanan bir şirket.
İsrail dışında çalışan araştırmacılar, bulgularını Eylül ayı başlarında İsrail Siber Müdürlüğü’ne bildirdiler ve ardından 26 Eylül’de gönderilen bir raporla AWS Güvenliğini bilgilendirdiler. Şirket, etkiyi azaltmak ve etkilenen müşterileri bu durumdan haberdar etmek için hemen adımlar attı. vpnMentor’a göre risk.
Sonuçta AWS ekibi, operasyonun müşteri uygulaması tarafında mevcut kusurları hedeflediğini buldu. paylaşılan sorumluluk bulut modeli ve araştırmacıların “tamamen aynı fikirde olduklarını” söyledikleri AWS’nin herhangi bir hatasını yansıtmıyordu. AWS güvenlik ekibi, araştırmalarını ve hafifletme çalışmalarını 9 Kasım’da tamamladıklarını doğruladı ve araştırmacılara olayı açıklamaları için yeşil ışık yaktı.
Kuruluşların kendi bulut ortamlarına yönelik benzer bir saldırıyı önlemek için atabileceği bazı adımlar arasında, sabit kodlanmış kimlik bilgilerinin hiçbir zaman kodlarında ve hatta yetkisiz tarafların erişebileceği dosya sistemlerinde bulunmamasını sağlamak yer alır.
Kuruluşlar ayrıca tembel saldırganların yaygın güvenlik açıklarını belirlemek için sıklıkla kullandığı “dirsearch” veya “nikto” gibi açık kaynak araçlarını kullanarak basit Web taramaları yapmalıdır. Araştırmacılar, bunun kötü niyetli bir aktörden önce çevrelerindeki delikleri bulmalarına olanak sağlayacağını belirtti.
Bir Web uygulaması güvenlik duvarının (WAF) aynı zamanda kötü amaçlı etkinlikleri engellemek için nispeten düşük maliyetli bir çözüm olduğunu ve aynı zamanda anahtarları, parolaları ve diğer sırları periyodik olarak “yönlendirmenin” de faydalı olduğunu söylediler. Kuruluşlar da oluşturabilir KanaryaTokenları Araştırmacılar, kodlarının gizli yerlerde bulunduğunu, bunun yöneticileri bir saldırganın olmaması gereken yerlere müdahale ettiği konusunda uyarmak için tetikleyici tel görevi gördüğünü belirtti.
Routh, olayın aynı zamanda, yeni teknoloji seçenekleri sunulduğunda geleneksel kontrol yöntemleri yerine siber kontrolleri esnekliğe ulaşmak için ayarlaması ve tasarlaması gereken kuruluşlar için bir öğrenme fırsatı sağladığını söylüyor.