Контакты
Подписка 2024
ITSEC 2024
Персональные данные в 2025 году: новые требования и инструменты. 16 октября, Москва, Форум ITSEC 2024
Регистрируйтесь и приходите!

Злоумышленники использовали неправильно настроенные ENV-файлы в AWS для доступа к данным в облачных хранилищах

19/08/24

images - 2024-08-19T122209.309

Атака отличалась высокой степенью автоматизации и глубоким знанием облачной архитектуры. Основные ошибки пользователей облачных сервисов, которые позволили скомпрометировать данные, включают: отсутствие защиты переменных окружения, использование постоянных учетных данных и нехватка мер по ограничению привилегий, пишет Securitylab.

Эксплуатируя обнаруженные уязвимости, злоумышленники получили доступ к облачным хранилищам данных жертв и вымогали деньги, размещая записки с требованиями выкупа в скомпрометированных хранилищах. При этом данные не шифровались, а просто извлекались, что позволило вымогателям шантажировать жертв угрозой утечки информации.

Атака разворачивалась на облачных платформах Amazon Web Services (AWS), где злоумышленники настроили свою инфраструктуру, сканируя более 230 миллионов уникальных целей в поисках конфиденциальной информации. Для обхода систем безопасности злоумышленники использовали сеть Tor, VPN и VPS.

В результате атаки пострадали 110 000 доменов, и было найдено более 90 000 уникальных переменных в .env файлах. Среди них 7 000 были связаны с облачными сервисами, а 1 500 — с аккаунтами в соцсетях.

Ключевую роль в успехе атаки сыграли ошибки конфигурации внутри пострадавших организаций, которые случайно сделали .env-файлы общедоступными. ENV-файлы часто содержат ключи доступа и другие секретные данные, что позволило злоумышленникам получить первоначальный доступ и повысить свои привилегии в облачных средах жертв.

Анализ проведенной атаки показал, что злоумышленники с помощью API запросов собирали информацию о среде и услугах AWS, в том числе о службах IAM, S3 и SES, чтобы расширить свое влияние на облачные инфраструктуры жертв. Они также пытались повысить свои привилегии, создавая новые роли IAM с неограниченным доступом.

Организациям, которые хотят защитить свои облачные среды, рекомендуется соблюдать принципы минимальных привилегий, использовать временные учетные данные и включать все возможные журналы событий для обеспечения мониторинга и выявления подозрительных действий. Включение расширенных механизмов безопасности Amazon, таких как GuardDuty и CloudTrail, также может значительно повысить уровень защиты облачных ресурсов.

Темы:Облачные технологииУгрозыPalo Alto NetworksAmazon Web Services
Безопасная разработка
Москва | 15 октября 2024 | Доверенные решения для защиты российских ОС на базе Linux и миграции
Регистрируйтесь и приходите на Форум ITSEC 2024
Статьи по темеСтатьи по теме

Участвуйте в проектах

редакции журнала
"Информационная безопасность" 

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2024
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
SOAR, IRP, SOC
Защита АСУ ТП и КИИ: готовимся к 2025 году
Обсуждаем на ITSEC 2024!

Еще темы...

More...