Ataki phishingowe na platformie Gitlocker
W zmieniającym się krajobrazie zagrożeń cyberbezpieczeństwa pojawiła się nowa kampania ataków Gitlocker, której celem są repozytoria GitHub. Operacja ta obejmuje złośliwe podmioty naruszające konta, usuwające zawartość repozytorium i żądające od ofiar skontaktowania się z nimi za pośrednictwem Telegramu w celu uzyskania dalszych instrukcji. W tym artykule szczegółowo opisano specyfikę tej kampanii, jej sposób działania i zalecane środki bezpieczeństwa chroniące przed takimi atakami.
Spis treści
Sposób działania ataku
Celem atakujących w kampanii Gitlocker są w szczególności repozytoria GitHub. Po uzyskaniu dostępu do repozytorium przystępują do czyszczenia jego zawartości. Następnie atakujący zmieniają nazwę repozytorium i pozostawiają plik README.me z żądaniem okupu, instruując ofiary, aby skontaktowały się z nimi za pośrednictwem Telegramu.
Skradzione dane uwierzytelniające
Wydaje się, że ugrupowanie zagrażające stojące za tą kampanią, działające pod pseudonimem Gitloker w Telegramie, uzyskuje dostęp do kont GitHub przy użyciu skradzionych danych uwierzytelniających. Podając się za analityka incydentów cybernetycznych, twierdzą, że utworzyli kopię zapasową zainfekowanych danych i oferują pomoc w ich przywróceniu. Pełny tekst żądania okupu brzmi:
Mam nadzieję, że ta wiadomość zastanie Cię w dobrym zdrowiu. To pilne powiadomienie, aby poinformować Cię, że Twoje dane zostały naruszone i zabezpieczyliśmy kopię zapasową.'
Odpowiedź i zalecenia
W następstwie poprzednich ataków GitHub zalecał użytkownikom zmianę haseł w celu zabezpieczenia kont przed nieautoryzowanym dostępem. Ta czynność jest kluczowa, aby zapobiec złośliwym działaniom, takim jak dodawanie nowych kluczy SSH, autoryzacja nowych aplikacji lub modyfikacja członków zespołu.
Wzmocnione środki bezpieczeństwa
Aby zapobiec dalszym naruszeniom bezpieczeństwa i wykryć podejrzane działania, zachęca się użytkowników do wdrożenia następujących środków bezpieczeństwa:
- Włącz uwierzytelnianie dwuskładnikowe (2FA) : dodanie dodatkowej warstwy zabezpieczeń do procesu logowania.
- Dodaj klucz dostępu : aby uzyskać bezpieczne logowanie bez hasła.
- Przeglądaj i unieważniaj nieautoryzowany dostęp : regularnie sprawdzaj klucze SSH i zarządzaj nimi, wdrażaj klucze i autoryzowane integracje.
- Zweryfikuj adresy e-mail : Upewnij się, że wszystkie powiązane adresy e-mail są poprawne i bezpieczne.
- Przejrzyj dzienniki bezpieczeństwa konta : Śledź zmiany w repozytorium, aby zidentyfikować wszelkie nieautoryzowane modyfikacje.
- Zarządzaj webhookami : regularnie kontroluj webhooki w repozytoriach i zarządzaj nimi.
Kontekst historyczny kompromisów w GitHubie
Atak Gitlockera nie jest odosobnionym przypadkiem. Konta GitHub były już wcześniej atakowane i naruszane, co doprowadziło do poważnych naruszeń danych.
Marzec 2020 Microsoft Breach : Hakerzy włamali się na konto Microsoft, kradnąc ponad 500 GB plików z prywatnych repozytoriów. Chociaż skradzione dane obejmowały głównie próbki kodu i projekty testowe, istniały obawy dotyczące ujawnienia prywatnych kluczy API i haseł. Ugrupowanie cyberprzestępcze ShinyHunters ostatecznie udostępniło dane za darmo, początkowo planując je sprzedać.
Kampania phishingowa z września 2020 r .: Użytkownicy GitHub stali się celem kampanii phishingowej obejmującej fałszywe powiadomienia CircleCI. Celem atakujących było wykradzenie danych uwierzytelniających GitHub i kodów 2FA za pośrednictwem zwrotnych serwerów proxy. Po włamaniu się na konta eksfiltrowali dane i dodawali nowe konta użytkowników, aby zachować stały dostęp.
Wniosek
Atak phishingowy Gitlocker podkreśla ciągłe zagrożenie dla repozytoriów internetowych i znaczenie solidnych praktyk bezpieczeństwa. Wdrażając zalecane środki bezpieczeństwa i zachowując czujność, użytkownicy mogą lepiej chronić swoje konta GitHub przed nieautoryzowanym dostępem i potencjalną utratą danych. Ponieważ zagrożenia cybernetyczne stale ewoluują, utrzymanie proaktywnego podejścia do bezpieczeństwa ma kluczowe znaczenie dla ochrony cennych zasobów cyfrowych.