fars_sakha بلاگ
محققان یک کمپین باجافزاری در یک بررسی بزرگ، نشان میدهند که بیش از 1200 کلید دسترسیAWS سرقت شده برای رمزگذاری از سطلهایS3 استفاده میکند.
محققان یک حادثه امنیتی را در مورد خدمات وب آمازون(AWS) کشف کردند. بر اساس گزارشCybernews که باHackread.com به اشتراک گذاشته شده است، حملات باجافزار با استفاده از 1200 کلید دسترسی منحصر به فردAWS راهاندازی شده است. مدیرانی که از سطلهایAWS S3 (نوعی فضای ذخیرهسازی ابری ارائه شده توسطAWS) استفاده میکنند، فایلهای خود را با یادداشت باجگیری قفل میکنند.
گزارش شده است که محققان پس از حذف ورودیهای تکراری، پایگاه دادهای با بیش از 158 میلیون رکورد کلید مخفیAWS، از جمله 1229 اعتبار ورود منحصر به فرد با "شناسه کلید دسترسی و کلید دسترسی مخفی مربوطه" را کشف کردند. برخی دیگر فعال نبودند، اما به مهاجمان اجازه دادند محتویات سطلS3 را مشاهده کنند و 0.3 بیت کوین (تقریباً 25000 دلار) باج بگیرند.
بدتر از آن، صاحبان دادهها از حادثه رمزگذاری آگاه نبودند زیرا مهاجمان از ویژگیAWS S3 به نام رمزگذاری سمت سرور با کلیدهای ارائه شده توسط مشتری(SSE-C) استفاده کردند. این روش به کاربران اجازه میدهد تا کلیدهای رمزگذاری خود را برای رمزگذاری دادهها در حالت استراحت ارائه دهند. در این مورد، مهاجمان کلیدهای رمزگذاری قوی خود را با استفاده از استانداردی به نامAES-256 برای قفل کردن دادهها تولید کردند.
این تکنیک "مصالح بیصدا" که توسط تیمHalcyon RISE مستند شده است، هشدارهای معمولی یا گزارشهای حذف فایل را ایجاد نکرد و ساختار سطل ذخیرهسازی بدون تغییر باقی ماند. برخلاف حملات اخاذی مضاعف، مهاجمان دادهها را سرقت نمیکردند، اما ممکن است برنامههای حذف خودکار را درAWS تنظیم کرده باشند تا قربانیان را برای پرداخت سریع تحت فشار قرار دهند. محققان ارزیابی کردند که برخی از حسابهای آسیبدیده بهطور عادی کار میکنند، که نشان میدهد برخی از قربانیان ممکن است متوجه رمزگذاریشده بودن دادههایشان نباشند.
بر اساس گزارش سایبرنیوز، باب دیاچنکو، محقق امنیت سایبری، یک کمپین اخاذی هماهنگ را شناسایی کرد که بیسابقه و خطرناک است، زیرا به جای تکنیکهای پیچیده هک، تنها بر کلیدهای سرقت شده متکی است. این بدان معنی است که حتی پشتیبانگیریهای خالی و تازه ایجاد شده نیز میتوانند در پروژههای آینده در معرض خطر باشند.
بنابراین، چگونه مهاجمان میتوانند تعداد زیادی کلیدAWS را جمعآوری کنند؟
محققان بر این باورند که اشتباهات خاصی مانند قرار دادن جزئیات ورود مخفی در سایتهای ذخیرهسازی کد عمومی مانندGitHub، ضعف در ابزارهایCI/CD مانندJenkins، پیکربندی نادرست فایلهای خصوصی در برنامههای کاربردی وب، نقض دادههای ابزارهای توسعهدهنده یا مدیران رمز عبور و حسابهای کاربری قدیمی و نظارت نشدهIAM با اعتبارنامههای قدیمی منسوخ شده میتواند عامل یا حملات محرمانه در برنامههای موبایل باشد.
با این وجود، هویت مهاجمان هنوز نامشخص است و به نظر میرسد که کل عملیات خودکار است. یادداشتهای باج در فایلی با عنوان"warning.txt" یافت میشوند. جالب است که هر سطلS3 آسیب دیده دارای یادداشت منحصربهفرد خود با یک آدرس بیتکوین خاص برای پرداخت و یک آدرس ایمیل به نامawsdecrypttechie.com است تا قربانیان با آنها تماس بگیرند.
Cybernews این مشکل امنیتی را بهAWS گزارش کرده است و منتظر پاسخ آنها برای اطلاعات بیشتر است. در همین حال، برای ایمن کردن فضای ذخیرهسازیAWS، محققان توصیه میکنند که سازمانها فوراً اعتبارIAM را بررسی و به روزرسانی کنند، سرویسهای امنیتیAWS را پیادهسازی کنند، اسرار افشاء شده را اسکن کنند، توکنهای کوتاه مدت و کمترین امتیاز را اعمال کنند و استفاده ازSSE-C را با گزارش دقیق محدود کنند.
منبع
