A principios de esta semana, los investigadores descubrieron una importante operación cibercriminal, denominada EmeraldWhale, después de que los atacantes colocaran más de 15.000 credenciales en un archivo abierto robado. Cubo de AWS S3 en una campaña masiva de robo de repositorios Git. El incidente es un recordatorio para reforzar las configuraciones de la nube y verificar el código fuente en busca de errores como la inclusión de credenciales codificadas.
En este ataque, EmeraldWhale apuntó a configuraciones de Git para robar credenciales, clonó más de 10.000 repositorios privados y extrajo credenciales de la nube del código fuente.
La campaña utilizó una variedad de herramientas privadas para abusar de servicios web y de nube mal configurados, según el equipo de investigación de amenazas de Sysdigquien descubrió la operación global. El phishing es la herramienta principal que utiliza la campaña para robar credenciales, que pueden valer cientos de dólares por cuenta en la Dark Web. La empresa también gana dinero vendiendo sus listas de objetivos en mercados clandestinos para que otros puedan dedicarse a la misma actividad.
La primera infracción de EmeraldWhale
Inicialmente, los investigadores estaban monitoreando el honeypot en la nube Sysdig TRT cuando observaron una llamada de ListBuckets utilizando una cuenta comprometida: un depósito S3 llamado s3simplisitter.
El cubo pertenecía a una cuenta desconocida y fue expuesto públicamente. Después de iniciar una investigación, los investigadores encontraron evidencia de un ataque multifacético, incluido el web scraping de archivos Git en repositorios abiertos. Según los investigadores, entre agosto y septiembre se llevó a cabo una campaña de escaneo masivo que afectó a servidores con archivos de configuración del repositorio Git expuestos, que pueden contener credenciales codificadas.
«Como profesionales de la seguridad, no podemos permitirnos el lujo de ser complacientes, especialmente cuando se trata de mantener secretos confidenciales, tokens API e información de autenticación fuera de nuestro código fuente», escribió Naomi Buckwalter, directora de seguridad de productos de Contrast Security, en un comunicado enviado por correo electrónico. . lectura oscura. “Los profesionales de la seguridad de la información no solo deben estar en primera línea capacitando a sus equipos de desarrollo sobre cómo almacenar, administrar y acceder a secretos de forma segura, sino que también deben escanear periódicamente su código fuente en busca de credenciales codificadas y monitorear el uso de credenciales para detectar actividad anómala. .
Estar siempre en guardia
Normalmente, los directorios de Git contienen «toda la información necesaria para el control de versiones, incluido el historial completo de confirmaciones, archivos de configuración, ramas y referencias».
«Si el directorio .git queda expuesto, los atacantes pueden recuperar datos valiosos sobre el historial, la estructura y la información confidencial del proyecto», agregaron los investigadores. «Esto incluye mensajes de validación, nombres de usuario, direcciones de correo electrónico y contraseñas o claves API si el repositorio las requiere o han sido validadas».
Este incidente es un claro recordatorio de que es esencial que las empresas y organizaciones tengan visibilidad de todos los servicios y una visión clara de las posibles superficies de ataque para poder gestionarlas de forma consistente y mitigar las amenazas.
«Muchas infracciones se producen porque los servicios internos quedan expuestos inadvertidamente a la Internet pública, lo que los convierte en objetivos fáciles para los malos actores», escribió Victor Acin, jefe de inteligencia de amenazas de Outpost24, en un comunicado enviado por correo electrónico a Dark Reading.
Acin recomendó que las empresas implementen una «gestión adecuada de la superficie de ataque externo». (EASM) plataforma» para realizar un seguimiento de posibles errores de configuración y TI en la sombra.
E incluso cuando se supone que los repositorios privados son seguros, vale la pena agregar protecciones adicionales y garantizar que la información esté bloqueada.