Хакеры крадут ключи AWS на Github за считанные минуты

GitHub имеет функцию безопасности, сканируя код на наличие открытых ключей Amazon Web Services (AWS) и, если находит их, сообщает об этом в AWS. Администрация сервиса может принять меры для предотвращения неправильного использования в течение нескольких минут.

Хакеры крадут ключи AWS на Github за считанные минуты. Фото: СС0

Однако это не работает со 100% точностью, и иногда ключи остаются открытыми немного дольше. Некоторым хакерам удалось воспользоваться этим окном возможностей, перехватив конфиденциальные данные и создав экземпляры Amazon Elastic Compute Cloud (EC2). Позже они использовали эти экземпляры для добычи криптовалюты Monero.

Информация о методе злоумышленников была озвучена специалистами Unit 42, подразделением кибербезопасности Palo Alto Networks. Исследователи назвали эту кампанию криптоджекинга «EleKtra-Leak» и утверждают, что хакерам потребовалось всего пять минут, чтобы захватить открытые ключи.

В Unit 42 добавили, что примерно за неделю злоумышленникам удалось сгенерировать как минимум 474 различных майнеров.

Из сообщения старшего главного исследователя Уильяма Гамазо и и менеджера по анализу облачных угроз в Unit 42 Натаниэля Квиста:

«Мы считаем, что злоумышленник может найти открытые ключи AWS, которые не обнаруживаются AWS автоматически, и впоследствии контролировать эти ключи за пределами политики AWSCompromizedKeyQuarantine. Согласно нашим доказательствам, они, скорее всего, так и сделали. В этом случае злоумышленник мог бы продолжить атаку без какой-либо политики, препятствующей его злонамеренным действиям по краже ресурсов у жертв. Даже когда GitHub и AWS координируют свою деятельность для реализации определенного уровня защиты в случае утечки ключей AWS, не все случаи предотвращаются. Мы настоятельно рекомендуем применять методы обеспечения безопасности CI/CD, такие как сканирование репозиториев при фиксации, независимо друг от друга».

Захватив ключи, мошенники анализировали учетную запись в поисках доступных регионов. После этого они создают группы безопасности и запускают столько экземпляров EC2, сколько смогут.

Monero описывается как «частная» криптовалюта, которую практически невозможно отследить. Вот почему ее майнинг - это один из самых популярных вариантов использования «угнанных аккаунтов» среди киберпреступников.

Startpack подготовил список продуктов, которые помогают защитить IT-активы компании от заражения зловредами. Список содержит продукты российских и зарубежных разработчиков. Помимо защиты от вирусов, решения позволяют хранить и управлять паролями, разворачивать антиспам-системы, проводить резервное копирование данных, защищать не только персональные компьютеры, но и серверы, а также локальные сети предприятия.

Статьи по теме