Alvó GitHub-fiókok segítik a támadókat elrejtőzni a vállalati szervezetek feltérképezése közben

enlightened Ez az oldal a közösségért készül. heart Kövess minket máshol is:  Linux Mint Magyar Közösség a Mastodon-on  Telegram csatorna – csak hírek  Beszélgessünk a Telegram – Linux csevegő csoport  Hírek olvasása RSS segítségével  Linux Mint Hivatalos Magyar Közösség a Facebook-on      Linux Mint Baráti Kör a Facebook-on
wink Ha hasznosnak találod, és szeretnéd, hogy folytatódjon, támogasd a munkát Ko-fi vagy Paypal segítségével. laugh

kami911 képe

A Datadog Security Labs arra figyelmeztet, hogy „több, egymást átfedő kampány” módszeresen térképezi fel a vállalati GitHub-szervezeteket, tárolókat és felhasználói fiókokat a GitHub API-n keresztül.

„Az üzemeltetők automatizált adatgyűjtő eszközökre támaszkodnak, amelyek egyedi vagy legiGitimnek hangzó user agenteket használnak. Ehhez gyakran évekkel ezelőtt létrehozott, alvó GitHub-fiókokat vetnek be, illetve feltört OAuth-tokeneket és személyes hozzáférési tokeneket (PAT-eket) legiGitim felhasználóktól” – mondta Julie Agnes Sparks, a Datadog vezető biztonsági mérnöke nyilatkozatában.

A legtöbb esetben a tevékenység nyilvános adatokra irányul, de néhány alkalommal túlléptek a nyilvános információk egyszerű felsorolásán, és sikeresen klónoztak privát tárolókat is.

A kampány automatizált szkenner eszközök, több mint 50 alvó fiók és tucatnyi legiGitim fiók kombinációját használja. Ezeknél a személyes hozzáférési tokenek (PAT-ek) akaratlanul kiszivárogtak, vagy más módon kompromittálódtak, és így segítik a rendszerszintű feltérképezést.

A „szellem” fiókok különlegessége, hogy 2–5 éve hozták létre őket, majd szándékosan hosszú ideig inaktívan hagyták, mielőtt bevetették volna őket, hogy API-forgalmat generáljanak több szervezet irányába. Ez tudatos stratégia: célja, hogy ne keltsen gyanút, és legiGitim tevékenységnek tűnjön, szemben azzal, amikor új fiókokat hoznak létre, és azonnal adatgyűjtésre használják őket.

Mivel a GitHub API-felületének jelentős része hitelesítés nélkül is elérhető, a lekérdezések visszaadják a szükséges adatokat, miközben beleolvadnak a normál API-használatba. Ilyen műveletek például:

  • egy szervezet nyilvános tárolóinak listázása
  • egy felhasználó követőinek és követettjeinek végigjárása
  • gistek, csillagozott tárolók és szervezeti tagságok felsorolása
  • GraphQL-lekérdezések futtatása nyilvános objektumokra

Ezekből az adatokból a támadók felderítést végezhetnek, és programozottan feltérképezhetik egy szervezet GitHub-hoz kapcsolódó tevékenységét: a nyilvános tárolókat, a tagokat, azt, hogy kiket követnek, és mely projekteket módosítják.

Néhány esetben megerősítették az adat-hozzáférést is: a támadók lépéseket tettek egyetlen szervezethez tartozó privát tároló klónozására.

„Önmagukban a legtöbb ilyen kérés nem feltűnő. Nyilvános végpontokat érnek el, szabályosan hitelesítenek – vagy egyáltalán nem –, és sikeres válaszokat kapnak” – közölte a Datadog. „Az összkép az aggasztó: fiókok csoportja mozog összehangoltan különböző cégek GitHub-szervezetei között, verziózott, egyedi eszközökkel, heteken át iterálva, és a legrosszabb esetben a puszta felsorolásról átváltanak a klónozásra.”