Datadog Security Labs araştırmacıları, GitHub üzerinde sistematik olarak kurumsal organizasyonları, depoları ve kullanıcı hesaplarını hedef alan bir dizi örtüşen saldırı kampanyası tespit etti. Saldırganlar, GitHub API'sini kullanarak otomatik tarama araçlarıyla şirketlerin altyapısını haritalıyor. Bu kampanyada en dikkat çeken nokta, saldırganların 'hayalet' olarak adlandırılan, yıllardır kullanılmayan hesapları veya çalıntı OAuth tokenleri ile kişisel erişim tokenlerini (PAT) kullanması.
Datadog kıdemli güvenlik mühendisi Julie Agnes Sparks, 'Operatörler, genellikle yıllar önce oluşturulmuş GitHub 'hayalet' hesaplarını veya meşru kullanıcıların tehlikeye atılmış OAuth tokenleri ile PAT'lerini kullanarak özel veya meşru görünümlü kullanıcı aracılarına sahip otomatik tarama araçlarına güveniyor' dedi. Bu hesapların çoğu, saldırıya hazırlanmak için iki ila beş yıl önce oluşturulup uzun süre kullanılmamış, böylece şüphe çekmeden API trafiği oluşturmaları sağlanmış.
Kampanya kapsamında 50'den fazla hayalet hesap ve düzinelerce ele geçirilmiş PAT ile çalışan meşru hesap kullanılıyor. Saldırganlar, GitHub'ın büyük bir kısmı kimlik doğrulama gerektirmeyen API yüzeyinden yararlanarak kuruluşların genel depolarını, kullanıcı takipçilerini, gist'leri, yıldızlı depoları ve GraphQL sorguları gibi verileri topluyor. Bu bilgiler, bir kuruluşun GitHub aktivitelerinin haritasını çıkarmak için programlı olarak kullanılıyor.
Çoğu durumda hedef kamuya açık veriler olsa da, bazı örneklerde saldırganlar özel depoları klonlamayı başardı. Datadog, 'Bireysel olarak bu isteklerin çoğu dikkat çekici değil. Kamu uç noktalarına erişiyor, temiz bir şekilde kimlik doğruluyor veya hiç doğrulamıyor ve başarılı yanıtlar alıyorlar. Endişe toplamda yatıyor: haftalarca süren, sürümlü özel araçlarla şirketlerin GitHub organizasyonları arasında senkronize hareket eden bir hesap grubu ve en kötü durumda, taramayı bırakıp klonlamaya başlayan aktörler' diye uyarıyor.
Teknik Analiz
Bu tür bir keşif faaliyeti, siber saldırganların hedef şirketin altyapısı, çalışanları ve projeleri hakkında kritik bilgiler toplamasına olanak tanır. Örneğin, bir kuruluşun genel depoları, üyeleri, kimleri takip ettikleri ve hangi projeleri değiştirdikleri gibi veriler, daha sonraki hedefli saldırılar için kullanılabilir. Şirketlerin, özellikle GitHub API kullanımını izlemesi, anormal desenleri tespit etmesi ve PAT'lerin güvenliğini sağlaması kritik önem taşıyor.
Nasıl Önlem Alınmalı?
Güvenlik uzmanları, şirketlerin GitHub hesaplarını düzenli olarak denetlemesini, eski ve kullanılmayan hesapları devre dışı bırakmasını, PAT'lerin süresini sınırlamasını ve API isteklerini coğrafi veya IP tabanlı kısıtlamalarla filtrelemesini öneriyor. Ayrıca, GraphQL sorgularının izlenmesi ve anormal sayıda istek gönderen hesapların tespiti için güvenlik araçları kullanılması, bu tür saldırıları erkenden fark etmeye yardımcı olabilir.
Kaynak: thehackernews.com