Cybersicherheitsexperten haben eine großangelegte Malware-Kampagne namens EmeraldWhale aufgedeckt, bei der Angreifer erfolgreich über 15.000 Zugangsdaten durch die Ausnutzung von Schwachstellen in Git-Konfigurationsdateien erbeutet haben. Forscher des Unternehmens Sysdig enthüllten Details dieser Operation nach Analyse von Daten, die die Hacker versehentlich in einem ungesicherten Amazon S3-Bucket hinterlassen hatten.
Automatisierte Schwachstellensuche als Angriffsmethode
Die EmeraldWhale-Betreiber setzten auf einen hochautomatisierten Ansatz zur Identifizierung und Ausnutzung von Schwachstellen. Ihre Tools scannten umfangreiche IP-Adressbereiche auf der Suche nach öffentlich zugänglichen Git-Konfigurationsdateien, die häufig sensible Informationen wie API-Schlüssel, Zugriffstokens und Passwörter enthalten.
Folgende Methoden kamen bei dem Angriff zum Einsatz:
- Scanning von etwa 500 Millionen IP-Adressen, aufgeteilt in 12.000 Bereiche
- Suche nach offenen /.git/config und .env Dateien in Laravel-Anwendungen
- Einsatz von Open-Source-Tools wie httpx und Masscan
- Automatische Überprüfung und Nutzung gefundener Tokens für den Zugriff auf private Repositories
Umfang und Auswirkungen der EmeraldWhale-Kampagne
Die von Sysdig-Experten durchgeführte Analyse offenbarte das beeindruckende Ausmaß der EmeraldWhale-Operation:
- Etwa 15.000 Cloud-Zugangsdaten wurden entwendet
- 67.000 URLs mit verwundbaren Konfigurationsdateien identifiziert
- 28.000 URLs entsprachen Git-Repositories
- 6.000 URLs enthielten GitHub-Tokens
- 2.000 URLs beinhalteten gültige Anmeldeinformationen
- Rund 3.500 Repositories kleiner Teams und privater Entwickler waren betroffen
Monetarisierung der gestohlenen Daten
Die erbeuteten Informationen wurden von den Angreifern für Phishing- und Spam-Kampagnen genutzt sowie auf dem Schwarzmarkt verkauft. Einfache Listen verwundbarer URLs wurden in Telegram-Kanälen für etwa 100 Dollar angeboten – nur die Spitze des Eisbergs bei der Monetarisierung der gestohlenen Daten.
Technische Details und eingesetzte Tools
Die Forscher identifizierten mehrere spezialisierte Tools, die im Rahmen der EmeraldWhale-Kampagne zum Einsatz kamen:
- MZR V2 (Mizaru) und Seyzo-v2: Toolkits zur Optimierung des Scan- und Exploit-Prozesses
- Multigrabber v8.5: Tool für die Arbeit mit Laravel-Anwendungen, Überprüfung von Domains auf .env-Dateien und Klassifizierung der gestohlenen Informationen
Interessanterweise waren Kommentare im Code einiger Tools in französischer Sprache verfasst. Experten vermuten jedoch, dass diese Tools möglicherweise von anderen Hackergruppen übernommen wurden und verknüpfen EmeraldWhale nicht mit einer bestimmten bekannten Gruppierung.
Empfehlungen zur Verbesserung der Sicherheit
Um die Risiken solcher Angriffe zu minimieren, empfehlen Cybersicherheitsexperten folgende Maßnahmen:
- Regelmäßige Überprüfung der Zugriffseinstellungen für Git-Repositories und Sicherstellung, dass Konfigurationsdateien nicht von außen zugänglich sind
- Implementierung sicherer Methoden zur Speicherung von Geheimnissen, wie spezialisierte Secret-Manager
- Einführung von Multifaktor-Authentifizierung für den Zugriff auf Repositories und Cloud-Ressourcen
- Durchführung regelmäßiger Sicherheitsaudits und Schwachstellenscans
- Schulung von Entwicklern in Best Practices für den Umgang mit vertraulichen Informationen im Code
Die EmeraldWhale-Kampagne verdeutlicht die zunehmende Raffinesse und den wachsenden Umfang von Cyberangriffen, die auf Entwickler und deren Infrastruktur abzielen. Für Organisationen ist es von entscheidender Bedeutung, ihre Sicherheitsmaßnahmen zu verstärken, insbesondere in Bezug auf Konfigurations- und Geheimnis-Management in Entwicklungsumgebungen. Kontinuierliche Wachsamkeit und die Anwendung fortschrittlicher Cybersicherheitspraktiken werden zu Schlüsselfaktoren bei der Abwehr solcher Bedrohungen. Die Erkenntnisse aus dieser Kampagne unterstreichen die Notwendigkeit einer proaktiven und ganzheitlichen Herangehensweise an die Cybersicherheit in der modernen Softwareentwicklung.
