Эксперты по кибербезопасности обнаружили масштабную вредоносную кампанию под названием EmeraldWhale, в ходе которой злоумышленники успешно похитили более 15 000 учетных данных, используя уязвимости в конфигурационных файлах Git. Исследователи из компании Sysdig раскрыли детали этой операции, проанализировав данные, случайно оставленные хакерами в незащищенном бакете Amazon S3.
Механизм атаки: автоматизированный поиск уязвимостей
Операторы EmeraldWhale применили высокоавтоматизированный подход для поиска и эксплуатации уязвимостей. Их инструменты сканировали обширные диапазоны IP-адресов, выявляя доступные через интернет конфигурационные файлы Git. Эти файлы часто содержат конфиденциальную информацию, такую как ключи API, токены доступа и пароли.
Для осуществления атаки использовались следующие методы:
- Сканирование около 500 миллионов IP-адресов, разделенных на 12 000 диапазонов
- Поиск открытых файлов /.git/config и .env в приложениях Laravel
- Применение опенсорсных инструментов, включая httpx и Masscan
- Автоматическая проверка и использование обнаруженных токенов для доступа к приватным репозиториям
Масштаб и последствия кампании EmeraldWhale
Анализ, проведенный специалистами Sysdig, выявил впечатляющие масштабы операции EmeraldWhale:
- Похищено около 15 000 облачных учетных данных
- Обнаружено 67 000 URL-адресов с уязвимыми конфигурационными файлами
- 28 000 URL соответствовали репозиториям Git
- 6000 URL содержали токены GitHub
- 2000 URL включали действующие учетные данные
- Затронуто около 3500 репозиториев небольших команд и частных разработчиков
Похищенные данные использовались злоумышленниками для проведения фишинговых и спам-кампаний, а также продавались на черном рынке. Простые списки уязвимых URL-адресов предлагались в Telegram примерно за 100 долларов, что является лишь верхушкой айсберга в монетизации украденной информации.
Технические детали и используемые инструменты
Исследователи выявили применение нескольких специализированных инструментов в рамках кампании EmeraldWhale:
- MZR V2 (Mizaru) и Seyzo-v2: наборы для оптимизации процесса сканирования и эксплуатации
- Multigrabber v8.5: инструмент для работы с приложениями Laravel, проверки доменов на наличие .env-файлов и классификации похищенной информации
Интересно отметить, что комментарии в коде некоторых инструментов были на французском языке. Однако эксперты предполагают, что эти инструменты могли быть заимствованы у других хакерских групп, и не связывают EmeraldWhale с какой-либо конкретной известной группировкой.
Рекомендации по защите
Для минимизации рисков, связанных с подобными атаками, специалисты по кибербезопасности рекомендуют следующие меры:
- Регулярно проверять настройки доступа к репозиториям Git и убедиться, что конфигурационные файлы недоступны извне
- Использовать безопасные методы хранения секретов, такие как специализированные менеджеры секретов
- Внедрить многофакторную аутентификацию для доступа к репозиториям и облачным ресурсам
- Проводить регулярные аудиты безопасности и сканирование на наличие уязвимостей
- Обучать разработчиков лучшим практикам работы с конфиденциальной информацией в коде
Кампания EmeraldWhale демонстрирует растущую изощренность и масштабы кибератак, нацеленных на разработчиков и их инфраструктуру. Организациям крайне важно усилить меры безопасности, особенно в отношении управления конфигурациями и секретами в среде разработки. Постоянная бдительность и применение передовых практик кибербезопасности становятся ключевыми факторами в противодействии подобным угрозам.
