Operesheni ya uhalifu iliyopewa jina la Emeraldwhale imegunduliwa baada ya kutupa zaidi ya vitambulisho 15,000 vya watoa huduma za wingu na watoa barua pepe kwenye ndoo iliyo wazi ya AWS S3, kulingana na watafiti wa usalama. Wezi wa data wasiojulikana walianzisha “kampeni kubwa ya kuchanganua” kati ya Agosti na Septemba, wakitafuta seva zilizo na usanidi wazi wa Git na faili za mazingira za Laravel, tunaambiwa. “Kampeni hii ilitumia zana nyingi za kibinafsi ambazo zilitumia vibaya huduma nyingi za wavuti zilizowekwa vibaya, kuruhusu washambuliaji kuiba vitambulisho, kuiga hazina za kibinafsi, na kutoa vitambulisho vya wingu kutoka kwa msimbo wao wa chanzo,” aliandika Miguel Hernandez, mhandisi mkuu katika Timu ya Utafiti ya Tishio ya muuzaji usalama wa Sysdig. Hati hizi zilizoibiwa zilitoa ufikiaji wa hazina za kibinafsi zaidi ya 10,000, aliongeza. Saraka za Git zilizofichuliwa hufanya lengo la kuvutia kwa wezi wa data kwa sababu zina kila aina ya taarifa muhimu – ikiwa ni pamoja na historia ya ahadi na ujumbe, majina ya watumiaji, anwani za barua pepe, na nywila au vitufe vya API. Ingawa kampeni za barua taka na ulaghai zinaonekana kuwa lengo kuu la wahalifu, vitambulisho vyenyewe vinaweza kuuzwa kwa mamia ya dola kwa kila akaunti, mkurugenzi mkuu wa utafiti wa Sysdig Michael Clark aliliambia gazeti la The Register. “Kuna thamani nyingi – $500, $600, $700 – kwa hati hizi,” Clark alielezea. Kuna kitu kinanuka kwenye ndoo hii ya S3 Timu ya watafiti tishio “kwa bahati mbaya” ilifichua hazina hii ya data iliyoibwa – zaidi ya terabyte ya kitambulisho kilichoathiriwa na maelezo ya ukataji miti – katika ndoo ya AWS S3 ilipokuwa ikifuatilia mtandao wa asali wa wingu wa Sysdig, Clark alifichua. Ndoo ya S3 haikuwa ya akaunti ya Sysdig; mafisadi walikuwa wakihifadhi bidhaa zilizoibiwa kwenye ndoo ya mwathiriwa wa zamani wa kampeni hiyo hiyo. Baada ya ndoo iliyoachwa kuripotiwa kwa AWS, kampuni kubwa ya wingu iliishusha mara moja, tunaambiwa. Ingawa kampuni ya usalama haijaunganisha Emeraldwhale na genge la wahalifu lililopo, Clark anadhani kuwa ina uwezekano wa kuhusishwa na kikundi kilichoanzishwa “kutokana na utata” wa shughuli zake. “Walijua nini cha kutafuta, walijua ni zana gani zilikuwa zinatumiwa na vikundi vingine.” Ingawa wawindaji wa vitisho hawawezi kusema kwa uhakika mahali wahalifu hao wanapatikana, zana mbili kati ya programu hasidi zilizotumiwa katika shambulio hilo ziliandikwa kwa Kifaransa, Clark aliona. Zana hizo za uovu – MZR V2 na Seyzo-v2 – zinaweza kununuliwa na kuuzwa katika soko la chini ya ardhi, na huwezesha utambazaji wa udhaifu katika hazina zilizofichuliwa za Git kwa ajili ya unyonyaji. “Kama wao ndio waandishi wa asili, ni vigumu kusema, lakini huko nyuma tumeona aina hii ya matumizi ya barua pepe, na ulaghai, ukifuatiwa hadi kwa wazungumzaji wa Kifaransa,” Clark alibainisha. MZR V2, mkusanyiko wa hati za Python na hati za ganda, inaweza kuchanganua orodha lengwa za IP kwa kutumia zana huria ya httpx, na kutoa URL kwa uchanganuzi zaidi. Pia inathibitisha sifa za GitHub, na kuzihifadhi katika faili mpya. Hatimaye, programu hasidi hukagua ruhusa na uwezo wa vitambulisho, na kisha kuthibitisha kuwa zinaweza kutumiwa kutuma ujumbe wa barua pepe kwa ajili ya mashambulizi ya barua taka na ya hadaa. Seyzo-v2 pia ni mkusanyiko wa hati za kutafuta na kuiba SMTP, SMS, na vitambulisho vya mtoa huduma wa barua pepe ya wingu. Sawa na MZR V2, programu hasidi hii hutumia kitambulisho kilichoathiriwa kuunda watumiaji walaghai wa kampeni za barua taka na za kuhadaa ili kupata maelezo ya kibinafsi. Zana hizi zote mbili hutumia orodha ya shabaha ili kuanzisha msururu wa mashambulizi. “Kwa kutumia mojawapo ya orodha hizi zinazolengwa, washambuliaji walitumia zana ya MZR V2 na waliweza kugundua URL zaidi ya 67,000 na njia /.git/config wazi,” Hernandez aliandika – akiongeza kuwa orodha hii pekee inauzwa kwa $100 kwenye Telegram. ® URL Asili ya Chapisho: https://go.theregister.com/feed/www.theregister.com/2024/10/31/emeraldwhale_credential_theft/