Serangan Digital : File .env Ekspos Data Penting
Baru-baru ini, sebuah kampanye pemerasan besar-besaran mengancam banyak organisasi dengan memanfaatkan record yang dapat diakses publik, yang dikenal sebagai record variabel environment (.env). Record ini berisi informasi penting seperti nama pengguna dan kata sandi untuk aplikasi cloud dan media sosial. Menurut laporan terbaru dari Palo Alto Systems Unit 42, kampanye ini menunjukkan beberapa kesalahan keamanan besar. Di antaranya adalah paparan record variabel lingkungan yang seharusnya bersifat pribadi, penggunaan kredensial yang tidak memiliki batas waktu, dan kurangnya penerapan prinsip hak istimewa minimum dalam sistem. Serangan ini dilakukan melalui infrastruktur Amazon Web Administrations (AWS) yang telah terinfeksi, yang kemudian digunakan untuk memindai lebih dari 230 juta target unik untuk informasi sensitif. Dalam serangan ini, sekitar 110.000 space menjadi sasaran. Hasilnya, lebih dari 90.000 variabel unik berhasil dikumpulkan dari record .env. Sekitar 7.000 variabel berasal dari layanan organisasi cloud, sementara 1.500 variabel terhubung dengan akun media sosial.
Unit 42 menjelaskan bahwa para penyerang berhasil mendapatkan iinformasi dari penyimpanan cloud yang terinfeksi. Meskipun mereka tidak mengenkripsi informasi sebelum meminta tebusan, mereka berhasil mengekstrak informasi dan menempatkan catatan tebusan di dalam penyimpanan cloud yang telah disusupi. Yang menarik dari serangan ini adalah bahwa mereka tidak memanfaatkan kelemahan atau kesalahan pada layanan cloud itu sendiri. Sebaliknya, mereka memanfaatkan record .env yang tidak sengaja dipublikasikan di aplikasi web yang tidak aman untuk mendapatkan akses awal. Setelah berhasil menembus sistem cloud, para penyerang melanjutkan dengan mencari cara untuk memperluas akses mereka. Mereka menggunakan kunci akses AWS Identity and Access Management (IAM) untuk membuat peran baru dan meningkatkan hak akses mereka. Peran IAM yang memiliki izin administratif ini kemudian digunakan untuk membuat fungsi AWS Lambda yang secara otomatis memindai internet, menargetkan jutaan ruang dan alamat IP.
Fungsi ini mengambil daftar target dari bucket S3 pihak ketiga yang dapat diakses publik, yang dieksploitasi oleh pelaku ancaman,â kata peneliti Unit 42, termasuk Margaret Zimmermann, Sean Johnstone, William Gamazo, dan Nathaniel Quist. âFungsi Lambda yang berbahaya ini kemudian melakukan permintaan untuk setiap record variabel lingkungan yang terpapar di domain-target, seperti https:///.env Jika space yang ditargetkan memiliki record lingkungan yang terlihat, kredensial dalam record tersebut diambil dan disimpan di folder baru dalam bucket AWS S3 yang dikendalikan oleh pelaku. Bucket ini kemudian dihapus setelah ditemukan oleh AWS. Kampanye ini juga secara khusus menargetkan record .env yang berisi kredensial Mailgun. Ini menunjukkan bahwa pelaku mencoba menggunakan kredensial tersebut untuk mengirim e-mail phishing dari space yang sah, melewati perlindungan keamanan. Serangan ini berakhir dengan pelaku yang mengekstrak dan menghapus information sensitif dari bucket S3 korban, lalu mengunggah catatan tebusan yang meminta pembayaran untuk menghindari penjualan informasi di web gelap. Upaya pelaku untuk membuat sumber daya Elastic Cloud Compute (EC2) baru untuk penambangan mata uang kripto ilegal juga gagal.
Saat ini, belum jelas siapa pelaku kampanye ini. Mereka menggunakan VPN dan jaringan TOR untuk menyembunyikan identitas mereka. Namun, Unit 42 melaporkan bahwa dua alamat IP yangterdeteksi, masing-masing dari Ukraina dan Maroko, terkait dengan aktivitas eksfiltrasi S3. Para penyerang dalam kampanye ini tampaknya menggunakan teknik otomatisasi yang luas untuk beroperasi dengan cepat dan efektif,â kata para peneliti. âIni menunjukkan bahwa kelompok pelaku ancaman ini sangat terampil dan paham tentang teknik arsitektur cloud tingkat lanjut.