In den Depots von Github suchen Cyberkriminelle gezielt nach geleakten AWS-Schlüsseln. Die Zugänge nutzen sie für die Einrichtung von Onlineserver für das Kryptomining. Das fanden Sicherheitsforscher von Unit 42 heraus, einem Unternehmen, das sich auf den Schutz vor Cyberattacken spezialisiert. Die Kampagne für den Diebstahl von AWS-Schlüsseln über Github tauften sie „EleKtra-Leak“.
Das öffentliche Github dient als Tor zu den Schlüsseln
Die öffentlichen Github-Repositories sind laut Unit 42 eine beliebte Anlaufstelle für Cyberkriminelle, um dort nach offenen IAM-Schlüsseln zu suchen, mit denen sie Zugang zu AWS bekommen. Unter bestimmten Bedingungen gelingt den Hackern das Aufspüren der Schwachstellen in nicht mal 5 Minuten, nach der Publikation auf Github.
Der Angriff zielt direkt auf die AWS-Elastic-Compute-Instanzen (AWS-EC2) ab. Mit diesen virtuellen Computern, die Amazon-User mieten können, erstellen die Kriminellen langfristige Kryptojacking-Operationen. Die Forschenden der Unit 42 gehen davon aus, dass diese Vorgänge bereits seit mindestens zwei Jahren laufen.
Dass es erst jetzt auffällt, soll wohl daran liegen, dass die Angreifenden schlau vorgegangen sind und AWS-Accounts, die regelmäßig IAM-Schlüssel preisgeben, ignoriert haben. So waren sie schwerer aufzuspüren, da die Aktionen schwieriger zu erkennen und zu verfolgen sind.
Um die Verfolgung einfacher zu machen, publiziert das Team von Unit 42 selbstgemachte AWS-Schlüssel auf Github. Sobald Amazon die Mehrzahl der Schlüssel erkennt, stellt sie den damit verbundenen Account unter Quarantäne. Hacker erhalten somit keinen Zugang mehr.
Deshalb suchen die Angreifer explizit nach Keys, die nicht vom Schutzsystem gesichert sind. Github kann nicht alle geleakten Schlüssel erkennen. Unit 42 empfiehlt Unternehmen, CI/CD-Sicherheitspraktiken unabhängig zu implementieren, um die eigenen Keys zu schützen.
Der Bericht des Forschungsteams besagt, dass rund 83 % aller Unternehmen fest kodierte Anmeldedaten preisgeben und somit ein leichtes Ziel für den Angriff sind.
Schutzmaßnahmen auf Github und Cyber Security mit AWS lernen
AWS sperrt die Accounts auf Github wie in vielen Fällen von selbst, sobald offene Anmeldedaten vorhanden sind. Das funktioniert aber nicht immer. Deshalb ist es ratsam, alle API-Verbindungen und den AWS-IAM-Key zu widerrufen.
So müssten Hacker zuerst das Github-Repository kopieren, um die Schlüssel zu identifizieren. Dieser Vorgang wird von Github überwacht und würde die Kriminellen selbst in die Falle laufen lassen. Die Überwachung und Nachverfolgung der illegalen Vorgänge gestaltet sich auf diese Weise einfacher.
Dafür verwendet Github „Prisma Cloud“, ein CI/CD-Modul, das die Account-Besitzer:innen direkt informiert, wenn Keys sichtbar sind, Depots von Github geklont werden oder Applikationen nicht wie gewünscht laufen.
Diese Schutzmaßnahmen sind dementsprechend sinnvoll und sollten alle Anwender und Anwenderinnen von AWS-Applikationen in Verbund mit Github nutzen.
Ebenfalls sinnvoll ist es, wenn du dich mit den Cyber Security-Anwendungen innerhalb von Amazon Web Services auseinandersetzt. In unserem Seminar AWS Security Best Practices lernst du einige Anwendungen und die besten Möglichkeiten zum Schutz von Accounts kennen. Mit AWS Security Governance at Scale kannst du die Sicherheit von Accounts automatisieren. Richtig umgesetzt und angewendet bietet AWS zahlreiche Kontrollfunktionen, die dafür sorgen, dass Accounts und Anwendungen jederzeit sicher bleiben. Implementiere Identitätsmanagement für AWS und nutze den AWS Control Tower für die Einrichtung einer sicheren Landezone. So sind Accounts vor Angriffen auf die Keys sicher.
