
Awal pekan ini, para peneliti mengungkap operasi kejahatan dunia maya besar, yang dijuluki EmeraldWhale, setelah para penyerang membuang lebih dari 15.000 kredensial ke dalam data curian dan terbuka. Ember AWS S3 dalam kampanye pencurian repositori Git secara besar-besaran. Insiden ini merupakan pengingat untuk memperketat konfigurasi cloud dan meninjau kode sumber untuk kesalahan seperti penyertaan kredensial hardcode.
Selama serangan gencar, EmeraldWhale menargetkan konfigurasi Git untuk mencuri kredensial, mengkloning lebih dari 10.000 repositori pribadi, dan mengekstrak kredensial cloud dari kode sumber.
Kampanye ini menggunakan berbagai alat pribadi untuk menyalahgunakan layanan Web dan cloud yang salah dikonfigurasi, menurut Tim Peneliti Ancaman Sysdigyang menemukan operasi global. Phishing adalah alat utama yang digunakan kampanye untuk mencuri kredensial, yang bisa bernilai ratusan dolar per akun di Web Gelap. Operasi ini juga menghasilkan uang dengan menjual daftar targetnya di pasar bawah tanah agar orang lain dapat melakukan aktivitas yang sama.
Pelanggaran Pertama EmeraldWhale
Para peneliti awalnya memantau cloud honeypot Sysdig TRT ketika mengamati panggilan ListBuckets menggunakan akun yang disusupi — sebuah bucket S3 yang dijuluki s3simplisitter.
Ember itu milik akun yang tidak dikenal dan diekspos ke publik. Setelah melakukan penyelidikan, para peneliti menemukan bukti serangan multifaset, termasuk pengikisan file Git di Web di repositori terbuka. Menurut para peneliti, kampanye pemindaian besar-besaran terjadi antara bulan Agustus dan September, yang memengaruhi server dengan file konfigurasi repositori Git yang terbuka, yang dapat berisi kredensial hardcode.
“Sebagai profesional keamanan, kami tidak boleh berpuas diri, terutama dalam hal menjaga rahasia sensitif, token API, dan kredensial otentikasi dari kode sumber kami,” Naomi Buckwalter, direktur keamanan produk di Contrast Security, menulis dalam sebuah pernyataan melalui email. ke Bacaan Gelap. “Para profesional infosec tidak hanya harus berada di garis depan dalam mendidik tim pengembangan mereka tentang cara menyimpan, mengelola, dan mengakses rahasia dengan aman, mereka juga harus secara teratur memindai kode sumber mereka untuk mencari kredensial hardcode dan memantau penggunaan kredensial untuk aktivitas yang tidak wajar.”
Selalu Jaga Kewaspadaan Anda
Secara umum, direktori Git berisi “semua informasi yang diperlukan untuk kontrol versi, termasuk riwayat penerapan lengkap, file konfigurasi, cabang, dan referensi.”
“Jika direktori .git terekspos, penyerang dapat mengambil data berharga tentang sejarah repositori, struktur, dan informasi proyek yang sensitif,” tambah para peneliti. “Ini termasuk pesan penerapan, nama pengguna, alamat email, dan kata sandi atau kunci API jika repositori memerlukannya atau jika sudah dikomit.”
Insiden ini merupakan pengingat yang jelas bahwa sangat penting bagi bisnis dan organisasi untuk memiliki visibilitas pada semua layanan dan mendapatkan gambaran yang jelas tentang potensi serangan agar dapat secara konsisten mengelolanya dan memitigasi ancaman.
“Banyak pelanggaran terjadi karena layanan internal secara tidak sengaja terekspos ke Internet publik, menjadikannya sasaran empuk bagi pelaku jahat,” Victor Acin, kepala intelijen ancaman di Outpost24, menulis dalam pernyataan email kepada Dark Reading.
Acin merekomendasikan agar perusahaan menerapkan “manajemen permukaan serangan eksternal yang tepat (EASM).” untuk melacak potensi kesalahan konfigurasi dan membayangi TI.
Dan meskipun repositori pribadi seharusnya aman, ada baiknya menambahkan perlindungan tambahan dan memastikan bahwa informasi dikunci.