Поделиться
Файлы .env открыли вымогателям возможность автоматизировать атаки
Аналитики Palo Alto Networks обнаружили массированную вымогательскую кампанию, ставшую возможной благодаря лишь тому, что файлы, содержавшие важные данные, хранились в общем доступе.
Ключи под фикусом
Ошибки в хранении значимых файлов в общем доступе привели к возникновению весьма масштабной и успешной вымогательской кампании, в ходе которой злоумышленникам даже не пришлось ничего взламывать или использовать какие-либо уязвимости. Как выяснили эксперты Palo Alto Networks Unit 42, злоумышленники использовали общедоступные файлы переменных среды .env (environment variable). Эти файлы содержали слишком значимые переменные – вплоть до реквизитов доступа к различным (облачным) приложениям.
«Кампания продемонстрировала множество ошибок безопасности, в том числе: общедоступность переменных среды; использование одних и тех же реквизитов длительное время; отсутствие специальной архитектуры для минимальных привилегий», – говорится в публикации Unit 42.
В результате злоумышленники смогли развернуть свою собственную инфраструктуру в средах Amazon Web Services (AWS) различных организаций и использовать ее для поиска уязвимых мишеней. Сканированию подверглись, как указывается в публикации, 230 млн уникальных объектов в 110 тыс. доменов. Улов злоумышленников составил 90 тыс. уникальных переменных в файлах .env. 7000 из них относились к облачным службам, и около 1500 удалось соотнести с аккаунтами в социальных сетях.
Автоматизация атак – ключ к успеху
Целью хакеров стали облачные контейнеры с данными. Выведя информацию оттуда, злоумышленники оставляли сообщение с требованием выкупа. Характерно, что никакого шифрования они не производили. Аналитики Unit 42 считают, что злоумышленники широко использовали автоматизацию для ускорения всех процессов. «Это указывает на информированность и высокую квалификацию групп злоумышленников в том, что касается продвинутых архитектурных процессов и методик в облачных средах», – отмечают аналитики.
Из публикации следует, что все эти операции осуществляли сразу несколько группировок.
«Успех злоумышленников целиком зависит от некорректных настроек в атакованных организациях, которые непредумышленно выложили в общий доступ свои файлы .env. Ни о каких уязвимостях или некорректных настройках в собственных сервисах облачных провайдеров речи не идет», – отметили аналитики Unit 42.
«Ситуации, когда некорректные настройки доступа к облачным ресурсам используются хакерами для вторжения в чужую инфраструктуру, – отнюдь не редкость, – говорит Анастасия Мельникова, директор по информационной безопасности компании SEQ. – В данном случае внимание привлекает отсутствие обычного для вымогательских кампаний шифрования и масштаб охвата, который могла обеспечить только автоматизация атак».
Далеко идущие планы
В ходе атак хакеры использовали сеть Tor для первичной разведки и проникновения в чужие ресурсы, VPN-инструменты для скрытного перемещения по сетям и вывода данных и эндпойнты VPS (Virtual Private Server) в других аспектах кампании.
Кроме того, они использовали ключи доступа AWS Identity and Access Management (управление доступом и идентификацией), чтобы создать в атакованных средах новые роли для себя и повысить свои привилегии. Этим они открыли для себя возможность широкомасштабного сканирования подходящих для атак ресурсов.
Интересующие злоумышленников реквизиты извлекались из .env-файлов и помещались в каталог в бакете AWS S3 под контролем хакеров. К настоящему моменту Amazon уже ликвидировал этот контейнер.
Эксперты отметили, что злоумышленников особенно интересовали реквизиты доступа к почтовой системе Mailgun. По-видимому, в дальнейшем их планировалось использовать для фишинга.
О происхождении злоумышленников пока можно лишь догадываться: экспертам удалось установить местоположение двух использовавшихся ими серверов – в Марокко и Украине – но само по себе это ни о чем не говорит.
Поделиться
Короткая ссылка
