Специалисты обнаружили кампанию под названием EleKtra-Leak, которая охотится за ключами доступа AWS IAM (Identity and Access Management), случайно засветившимися в открытых репозиториях на GitHub. Судя по наблюдениям, злоумышленники успевают перехватить и использовать такие ключи буквально в течение нескольких минут после их публикации.
Автоматизация вместо ручного поиска
Скорость реакции — от двух до четырёх минут с момента появления ключа в публичном репозитории — указывает на то, что атакующие используют автоматизированные сканеры GitHub. Эти боты непрерывно клонируют и анализируют репозитории в поисках забытых или случайно закоммиченных AWS-учётных данных.
Интересно, что штатная защита самого GitHub — механизм Secret Scanning — и политика AWSCompromisedKeyQuarantine, которую Amazon применяет к скомпрометированным ключам, тоже срабатывают достаточно быстро: карантин ключа вводится уже через две минуты после его публикации. Но операторы EleKtra-Leak, судя по всему, нашли способ обходить или опережать эти защитные механизмы — исследователи прямо говорят, что метод, которым атакующие находят ключи раньше автоматических систем защиты, пока не установлен.
Что происходит с угнанными ключами
Получив рабочие учётные данные, злоумышленники сначала проводят разведку в облачной среде жертвы, а затем создают новую группу безопасности AWS и разворачивают через неё множество инстансов EC2 в разных регионах. Все эти инстансы работают через VPN, что усложняет их отслеживание.
Для майнинга атакующие выбирают мощный тип инстанса c5a.24xlarge — он обладает высокой вычислительной производительностью и позволяет добывать криптовалюту заметно быстрее, чем на слабых конфигурациях. Цель кампании — майнинг Monero: только в период с августа по октябрь 2023 года исследователи насчитали 474 уникальных EC2-инстанса, задействованных в добыче этой криптовалюты за счёт угнанных облачных ресурсов.
Связь со старыми атаками
По данным расследования, кампания EleKtra-Leak активна как минимум с 2020 года. Есть также признаки связи с другой криптоджекинг-операцией 2021 года, которая использовала то же вредоносное ПО для атак на слабо защищённые Docker-сервисы. Это позволяет говорить о едином инструментарии, который злоумышленники адаптируют под разные облачные цели.
Подробный технический разбор кампании, включая методы эксплуатации, опубликовало подразделение Unit 42 компании Palo Alto Networks.
Что это значит для компаний
История лишний раз подтверждает старое правило DevSecOps: любые ключи доступа, попавшие в публичный репозиторий, нужно считать скомпрометированными сразу же — даже если облачный провайдер обещает автоматический карантин. В случае с AWS атакующие могут опередить защитные механизмы буквально на минуты, поэтому единственная надёжная стратегия — не допускать попадания секретов в код в принципе: использовать менеджеры секретов, pre-commit-хуки для сканирования репозиториев и жёстко ограничивать права IAM-ролей по принципу минимально необходимых привилегий.
Источник: Cybersecurity News.