Pesquisadores de segurança da Unit 42 da Palo Alto Networks descobriram uma campanha de cryptojacking (invasão de computador para minerar criptomoeda) de vários anos que, segundo eles, clona de forma autônoma repositórios do GitHub e rouba suas credenciais expostas da Amazon Web Services (AWS).
Apelidado de “EleKtra-Leak” pelos pesquisadores, os criminosos por trás da campanha são apontados ladrões regulares de credenciais da AWS e capazes de realizar o roubo no prazo de cinco minutos após serem expostas em repositórios do GitHub.
Minutos depois, várias instâncias do Amazon Elastic Compute Cloud (EC2) podem ser executadas no maior número possível de regiões para minerar a critptomoeda Monero. No espaço de pouco mais de um mês, entre 30 de agosto e 6 de outubro, os pesquisadores identificaram 474 mineradores diferentes sendo operados por “instâncias EC2 potencialmente controladas por hackers”.
Os testes iniciais mostraram que o recurso de varredura secreta do GitHub funcionou em grande parte como esperado, notificando a AWS de uma credencial exposta em um repositório com o provedor de nuvem emitindo uma política para evitar o uso indevido em minutos.
“Acreditamos que o operador da ameaça pode ser capaz de encontrar chaves da AWS expostas que não são detectadas automaticamente pela empresa e, posteriormente, controlar essas chaves fora do AWS Compromised Key Quarantine [política de quarentena gerenciada pela AWS que nega acesso a determinadas ações]”, disseram William Gamazo e Nathaniel Quist, pesquisador principal sênior e gerente de inteligência de ameaças em nuvem na Unit 42, respectivamente.
“De acordo com nossas evidências, eles provavelmente fizeram. Nesse caso, o operador da ameaça poderia prosseguir com o ataque sem que nenhuma política interferisse em suas ações maliciosas para roubar recursos das vítimas. Mesmo quando o GitHub e a AWS são coordenados para implementar um certo nível de proteção quando as chaves da AWS são vazadas, nem todos os casos são cobertos. É altamente recomendável que as práticas de segurança de CI/CD (integração contínua/entrega contínua) como a varredura de repositórios na confirmação, sejam implementadas de forma independente”, explicaram os pesquisadores.
Veja isso
AWS diz que sistema chamariz interno bloqueou APTs e botnets
Pesquisadores alertam que AWS SSM pode ser usado como RAT
A política de quarentena da AWS é eficaz para impedir ataques, e os pesquisadores a substituíram em seus próprios repositórios para que pudessem obter maior visibilidade da campanha, deixando-a ser executada como o invasor pretendia.
A Unit 42 afirma que as credenciais encontradas na investigação foram obtidas via GitHub pelos invasores, apesar da política da AWS ser aplicada rapidamente, mas os invasores também exibiram evidências de usar vários métodos para adquirir os logins da AWS fora do escopo da investigação dos pesquisadores.
Para aqueles que procuram maneiras de mitigar a ameaça de expor credenciais da AWS por meio do GitHub, a configuração da varredura secreta mostra-se uma ferramenta altamente eficaz para evitar o uso indevido. Para quaisquer credenciais da AWS expostas, as conexões de API feitas usando elas devem ser imediatamente revogadas, disseram os pesquisadores.
Para ter acesso ao relatório completo, em inglês, da Unit 42 da Palo Alto Networks clique aqui.
