Эксперты Palo Alto Networks предупреждают, что злоумышленники, стоящие за кампанией EleKtra-Leak, успевают похитить учетные данные AWS из публичных репозиториев GitHub в течение 4-5 минут после их случайной утечки.
По подсчетам исследователей, кампания EleKtra-Leak активна не менее двух лет, что позволяет злоумышленниками создавать множество инстансов AWS Elastic Compute (EC2) и использовать их для криптоджекинга.
Злоумышленники используют автоматизированные инструменты для клонирования публичных репозиториев GitHub и сбора из них учетных данных AWS, но при этом блокируют репозитории, регулярно раскрывающие учетные данные, чтобы избегать ханипотов, расставленных ИБ-специалистами.
Фактически операции EleKtra-Leak строятся на сканировании репозиториев GitHub в режиме реального времени в поисках раскрытых секретов, а также на создании инстансов EC2 в любом доступном регионе AWS для добычи криптовалюты Monero.
Судя по всему, хакеры собирают только учетные данные, забытые в репозиториях в открытом виде. Более того, эти данные могут быть использованы лишь в том случае, если GitHub не заметит их и не уведомит об этом AWS, которая автоматически поместит связанного с ней пользователя в карантин, чтобы предотвратить возможные нарушения безопасности.
«Несмотря на то, что GitHub и AWS координируют свои действия для реализации определенного уровня защиты при утечке ключей AWS, не все случаи поддаются контролю. Мы настоятельно рекомендуем самостоятельно внедрять такие практики CI/CD-безопасности, как сканирование репозиториев при коммитах, — пишут эксперты Palo Alto Networks. — Несмотря на успешную карантинную политику AWS, количество скомпрометированных учетных записей и частота компрометаций постоянно колеблются. Среди возможных причин, по которым эта кампания все еще активна, можно выделить то, что она, вероятно, сосредоточена не только на поиске учетных данных на GitHub и атаках на Amazon EC2».
Также исследователи считают, что «злоумышленники могут находить IAM-ключи AWS, которые не обнаруживаются AWS автоматически, и впоследствии контролировать эти ключи за пределами политики AWSCompromizedKeyQuarantine».
Кроме того, так как карантинная политика AWS применяется в течение двух минут после утечки, у специалистов есть теория о том, что кампания может использовать некие еще неизвестные методы для кражи данных.
По словам специалистов, злоумышленники выполняют ряд операций за считанные минуты, но при этом успешно скрывают свои личности, вероятно, пряча автоматизированные инструменты за VPN. В период с 30 августа по 6 октября компания выявила 474 уникальных майнера, предположительно связанных с EleKtra-Leak.