Cyberkriminelle klauen auf Github AWS-Schlüssel für Kryptomining
Cyberkriminelle haben es auf geleakte AWS in Github-Depots abgesehen. Mit den Zugangsschlüsseln wollen sie Onlineserver für das Kryptomining einrichten.
Sicherheitsforscher von Unit42 haben eine neue Kampagne entdeckt, die sie "EleKtra-Leak" nennen. Diese sucht nach offenen Amazon-Web-Services (AWS) Identity- und Zugriffsmanagement (IAM)-Schlüsseln in öffentlichen Github-Repositories. Das Auffinden solcher Schwachstellen gelingt den Akteuren in manchen Fällen innerhalb von fünf Minuten nach der Publikation auf Github, wie Unit42 mitteilt.
Der dabei verbundene Bedrohungsvektor ist in der Lage, mehrere AWS-Elastic-Compute-Instanzen (AWS-EC2) zu erstellen. Bei AWS-EC2 handelt es sich um virtuelle Computer, die User von Amazon mieten können. Diese würden die Angreifer für lang anhaltende Kryptojacking-Operationen verwenden. Die Sicherheitsforscher glauben, dass diese Operationen schon seit mindestens zwei Jahren vonstattengehen. Dabei haben die Akteure scheinbar speziell AWS-Accounts ignoriert zu haben, die regelmässig IAM-Schlüssel preisgeben. Dies diente wahrscheinlich dazu, Cybersicherheitsforscher davon abzuhalten, ihre Aktivitäten zu verfolgen, wie es im Bericht weiter heisst.
Um die Akteure besser zu verfolgen, publizieren die Cyberforschende selbstgemachte AWS-Schlüssel auf Github. AWS entdeckt die grosse Mehrzeit solcher exponierter Schlüssel und stellt den damit assoziierten User-Account unter Quarantäne. Das verunmöglicht es Akteuren von ausserhalb, Operationen auf dem Account durchzuführen. Folglich seien die Akteure hinter den Schlüsseln her, die von Githubs Schutzsystem nicht geschützt würden. Hierbei betonen sie, dass Unternehmen "Continuous Integration and Delivery" (CI/CD)-Sicherheitspraktiken, wie das Scannen von Repos, unabhängig implementieren sollten, da Githubs eigenes Schutzsystem nicht alle geleakten Schlüssel erkennen könne. Laut dem Bericht geben 83 Prozent aller Organisationen festkodierte Anmeldedaten innerhalb der Produktionscode-Repositorys preis.
Die Taktik der Angreifer
Zuerst kundschaften der Bedrohungsakteur ein AWS-Konto aus. Nach der Erkundung erstellt der Bedrohungsakteur AWS-Sicherheitsgruppen, bevor er schliesslich mehrere EC2-Instanzen pro Region in jeder zugänglichen AWS-Region startet.
Repositorys werden kopiert und auf AWS-Schlüssel gescannt. Wenn einmal identifiziert, legen die Akteure Amazon-IAM-Instanzen an, mit denen sie nach Kryptowährungen schürfen. Neue Coins werden auf ein Google-Drive-Konto transferiert. (Source: www.unit42.paloaltonetworks.com)
Wie Unit24 feststellt, deuten die Daten darauf hin, dass die Automatisierungsoperation des Akteurs hinter einem VPN stattfindet. Sie wiederholen dieselben Vorgänge in mehreren Regionen, generieren insgesamt mehr als 400 Application-Programming-Interface (API)-Aufrufe und benötigen laut Cloudtrail-Protokollierung nur sieben Minuten dafür. Dies deutet darauf hin, dass der Akteur erfolgreich in der Lage ist, seine Identität zu verschleiern. Um AWS-EC2-Instanzen zu instanziieren, verwendet der Bedrohungsakteur die RunInstance-API.
Einmal aktiviert werden die EC2-Instanzen gebraucht, um nach Cryptowährungen zu schürfen. In diesem Falle wurden sie die Cryptowährung verschlüsseln und auf ein Google-Drivekonto transferieren. Bei dem Mining-Tool handelt es sich um Mining-Pools. Diese werden als Arbeitsbereiche für mehrere Miner verwendet, die zusammenarbeiten, um die Chancen auf Kryptowährung zu erhöhen.
Schutzmassnahmen
In den meisten Fällen sperrt AWS Github-Accounts mit offenen Anmeldedaten von selbst. Wenn dies nicht der Fall ist, sollte man sämtliche API-Verbindungen wie auch den AWS-IAM-Schlüssel widerrufen.
Cyberkriminelle müssten zuerst das Github-Repository kopieren, bevor sie die AWS-IAM-Schlüssel identifizieren könnten. Solche Kopiervorgänge eines Repositorys könnten Github-Enterprisekonten protokollieren, was die Überwachung und Identifizierung bösartiger Aktivitäten vereinfache.
Das CI/CD-Modul von "Prisma Cloud" informiere Besitzer von Github-Repositories, wenn IAM-Schlüssel von aussen sichtbar sind, Github-Depots geklont wurden oder Applikationen nicht einwandfrei laufen.
AWS macht Anmeldungen mittels Multi-Faktor-Authentifizierung obligatorisch. Der Hyperscaler will damit Konten und Daten besser absichern. Mehr dazu lesen Sie hier.
Wenn Sie mehr zu Cybercrime und Cybersecurity lesen möchten, melden Sie sich hier für den Newsletter von Swisscybersecurity.net an. Auf dem Portal lesen Sie täglich News über aktuelle Bedrohungen und neue Abwehrstrategien.