Кіберзлочинці провели масштабну атаку під назвою EmeraldWhale, спрямовану на вразливості в конфігураційних файлах Git-репозиторіїв. В результаті було викрадено понад 15 000 облікових даних, що становить серйозну загрозу для безпеки розробки програмного забезпечення. Експерти з кібербезпеки компанії Sysdig виявили деталі цієї операції, проаналізувавши дані, випадково залишені зловмисниками у незахищеному бакеті Amazon S3.
Механізм атаки: автоматизований пошук вразливостей
Оператори EmeraldWhale застосували високоавтоматизований підхід для виявлення та експлуатації вразливостей. Їхні інструменти сканували близько 500 мільйонів IP-адрес, розділених на 12 000 діапазонів, шукаючи доступні через інтернет конфігураційні файли Git. Ці файли часто містять конфіденційну інформацію, таку як ключі API, токени доступу та паролі.
Для здійснення атаки використовувалися наступні методи:
- Пошук відкритих файлів /.git/config та .env в додатках Laravel
- Застосування опенсорсних інструментів, включаючи httpx та Masscan
- Автоматична перевірка та використання виявлених токенів для доступу до приватних репозиторіїв
Масштаби та наслідки кампанії EmeraldWhale
Аналіз, проведений фахівцями Sysdig, виявив вражаючі масштаби операції EmeraldWhale:
- Викрадено близько 15 000 облікових даних для хмарних сервісів
- Виявлено 67 000 URL-адрес з вразливими конфігураційними файлами
- 28 000 URL відповідали репозиторіям Git
- 6000 URL містили токени GitHub
- 2000 URL включали діючі облікові дані
- Постраждало близько 3500 репозиторіїв невеликих команд та приватних розробників
Викрадені дані використовувалися зловмисниками для проведення фішингових та спам-кампаній, а також продавалися на чорному ринку. Прості списки вразливих URL-адрес пропонувалися в Telegram приблизно за 100 доларів, що є лише верхівкою айсберга в монетизації викраденої інформації.
Технічні деталі та використані інструменти
Дослідники виявили застосування кількох спеціалізованих інструментів в рамках кампанії EmeraldWhale:
- MZR V2 (Mizaru) та Seyzo-v2: набори для оптимізації процесу сканування та експлуатації
- Multigrabber v8.5: інструмент для роботи з додатками Laravel, перевірки доменів на наявність .env-файлів та класифікації викраденої інформації
Цікаво відзначити, що коментарі в коді деяких інструментів були французькою мовою. Однак експерти припускають, що ці інструменти могли бути запозичені у інших хакерських груп, і не пов’язують EmeraldWhale з якимось конкретним відомим угрупованням.
Рекомендації щодо захисту
Для мінімізації ризиків, пов’язаних з подібними атаками, фахівці з кібербезпеки рекомендують наступні заходи:
- Регулярно перевіряти налаштування доступу до репозиторіїв Git та переконатися, що конфігураційні файли недоступні ззовні
- Використовувати безпечні методи зберігання секретів, такі як спеціалізовані менеджери секретів
- Впровадити багатофакторну автентифікацію для доступу до репозиторіїв та хмарних ресурсів
- Проводити регулярні аудити безпеки та сканування на наявність вразливостей
- Навчати розробників кращим практикам роботи з конфіденційною інформацією в коді
Кампанія EmeraldWhale демонструє зростаючу витонченість та масштаби кібератак, націлених на розробників та їхню інфраструктуру. Організаціям вкрай важливо посилити заходи безпеки, особливо щодо управління конфігураціями та секретами в середовищі розробки. Постійна пильність та застосування передових практик кібербезпеки стають ключовими факторами у протидії подібним загрозам. Лише комплексний підхід до захисту, що включає технічні засоби, навчання персоналу та регулярний аудит, може забезпечити належний рівень безпеки в сучасному цифровому світі.
