Caçando atores maliciosos pela internet, os pesquisadores israelenses Noam Rotem e Ran Locar identificaram a infraestrutura de uma vasta operação que coletou dados de milhares de empresas e organizações e que usam a AWS como seu provedor de nuvem. A descoberta fornece um vislumbre das operações de uma operação de varredura da web em larga escala feita por cibercriminosos. Os pesquisadores encontraram o código usado pelos invasores e até mesmo as identidades potenciais das pessoas por trás dele.
Leia também
Oracle expande integração multicloud Google/AWS
AWS inaugura locais para uploads ultra-rápidos
“Identificamos uma operação significativa que escaneou milhões de sites, explorando vulnerabilidades em sites públicos configurados incorretamente”, disseram eles no relatório publicado pela vpnMentor, a empresa de pesquisa de segurança cibernética que colaborou com Rotem e Locar. “Este incidente resultou na exposição de chaves e segredos confidenciais, concedendo acesso não autorizado aos dados do cliente.”
Uma infraestrutura sofisticada e extensa, orquestrada por agentes de ameaças de um país de língua francesa, conduziu varreduras abrangentes da internet, buscando endpoints vulneráveis exploráveis, diz o relatório. Esses endpoints vulneráveis deram aos invasores acesso a credenciais de infraestrutura, código-fonte proprietário, bancos de dados de aplicativos e até mesmo credenciais para serviços externos adicionais em alguns casos.
Os dados coletados das vítimas eram armazenados em um bucket S3, que foi deixado aberto devido a uma configuração incorreta de seu proprietário. O bucket S3 estava sendo usado como um “drive compartilhado” entre os membros do grupo de ataque, com base no código-fonte das ferramentas usadas por eles.