هکرها از پیکربندی نادرست AWS در نقض گسترده داده ها سوء استفاده می کنند

یک عملیات سایبری بزرگ که از آسیب پذیری ها در وب سایت های عمومی با پیکربندی نادرست بهره برداری می کند، به گروه های هک Nemesis و ShinyHunters مرتبط شده است که منجر به افشای داده های حساس از جمله اطلاعات مشتری، اعتبار زیرساخت ها و کد منبع اختصاصی می شود.

به گفته محققان مستقل امنیت سایبری، نوام روتم و ران لوکار، مهاجمان یک عملیات اسکن اینترنتی در مقیاس بزرگ را سازماندهی ،د که نقاط پای، آسیب پذیر را در محدوده IP خدمات وب آمازون (AWS) هدف قرار می داد.

آنها از طریق سیستم های پیکربندی نادرست به اطلاعات حساس دسترسی پیدا ،د که در نتیجه بیش از 2 ترابایت داده به خطر افتاد. این داده ها شامل هزاران اعتبار و اسرار به همراه فهرست دقیق اه، قابل بهره برداری در سراسر جهان بود.

فرآیند چگونه کار کرد؟

مجرمان سایبری یک استراتژی حمله دو مرحله ای را اجرا ،د:

• کشف: مهاجمان با استفاده از محدوده های IP AWS در دسترس عموم، اه، بالقوه را با اسکن برای آسیب پذیری ها یا پیکربندی های نادرست برنامه شناسایی ،د. آنها از ابزارهایی مانند S،dan برای انجام جستجوی مع، در آدرس های IP و است،اج نام های دامنه مرتبط با آنها استفاده ،د. SSL Certificate Analysis لیست اه، دامنه خود را گسترش داده است.

• برای بهره برداری: این گروه نقاط پای، در معرض دید را برای داده های حساس، از جمله اعتبار دسترسی به پایگاه داده، کلیدهای API و سایر اسرار امنیتی اسکن کرد. ا،پلویت ها، مانند هک های راه دور، نفوذ عمیق تری به سیستم های در معرض خطر را امکان پذیر کرده اند.

اطلاعات دزدیده شده از کلیدهای AWS گرفته تا اعتبار برای پلتفرم های محبوبی مانند GitHub و Twilio و صرافی های ارزهای دیجیتال متغیر بود. اعتبار تایید شده بعداً در کانال های تلگرامی به ازای هر نقض صدها یورو به بازار عرضه شد.

درباره حملاتی که زیرساخت های ابری را هدف قرار می دهند بیشتر بخو،د: گروه های باج افزار از خدمات ابری برای است،اج داده ها استفاده می کنند

تحقیقات پیوندهایی را بین این عملیات و سباستین رائول، مرتبط با گروه منقرض شده ShinyHunters نشان داد. سایر ارتباطات، مهاجمان را به Nemesis Blackmarket مرتبط می کرد که به فروش اعتبارنامه های سرقت شده معروف است.

جیم راث، افسر ارشد اعتماد در Savynt گفت: «این دو «باند» نماینده یک سندیکای مجرمان سایبری پیشرفته هستند که در مقیاس بزرگی برای ،ب سود فعالیت می کنند.

آن ها از مهارت های فنی خود برای شناسایی نقاط ضعف در کنترل ها از سازمان هایی که به سمت مح،ات ابری حرکت می کنند، بدون درک کامل پیچیدگی خدمات و کنترل های ارائه شده در رایانش ابری استفاده می کنند. تنوع اطلاعات مورد نیاز (...) بسیار زیاد است عملیات برای جنایتکاران بزرگ است.»

کاهش و پیشگیری

AWS با محققان همکاری کرد و تاکید کرد که این تخلفات ناشی از پیکربندی نادرست مشتری تحت یک مدل مسئولیت مش، است.

به مشتریان توصیه شده است:

• با استفاده از خدماتی مانند AWS Secrets Manager از اعتبارنامه های سخت کدگذاری شده خودداری کنید

• کلیدها و اسرار را به صورت دوره ای بچرخ،د

• استقرار فایروال برنامه های وب (WAF)

• برای به دست آوردن اطلاعات حساس، از CanaryTokens به ،وان سیم اتصال استفاده کنید

در حالی که AWS اقداماتی را برای کاهش تأثیر حمله انجام داده است، کارشناسان هشدار می دهند که چنین عملیاتی ادامه خواهد داشت. اقدامات پیشگیرانه، از جمله ارزیابی های آسیب پذیری منظم، برای محافظت از دارایی های دیجیتال ضروری است.