Atacantes cibernéticos estão lançando uma campanha insidiosa conhecida como “Elektra-Leak”, que tem como alvo repositórios públicos do GitHub em busca de credenciais expostas do Amazon Web Services (AWS) Identity and Access Management (IAM). Esta campanha, monitorada de perto por pesquisadores da Palo Alto Networks, destaca a sofisticação dos atacantes em evadir os controles de quarentena da Amazon e seu objetivo de criar instâncias AWS Elastic Compute (EC2) para atividades de mineração de criptomoedas.
Atacantes Ativos e Prolíficos
A campanha Elektra-Leak demonstra a determinação dos atacantes em coletar chaves IAM expostas em repositórios públicos do GitHub. Em um curto período de tempo, os pesquisadores identificaram pelo menos 474 instâncias EC2 únicas criadas pelo atacante, otimizadas para computação, entre 30 de agosto e 6 de outubro. Isso destaca a natureza prolífica da campanha e sua capacidade de resposta rápida.
A Velocidade é Essencial
O que torna a campanha Elektra-Leak notável é a velocidade com que o atacante lança um ataque completo após a exposição de uma credencial IAM em um repositório público do GitHub. Mesmo com a Amazon implementando políticas de quarentena para proteger contra o uso indevido de chaves expostas, o atacante continua a comprometer contas de vítimas em um ritmo constante.
A capacidade de contornar as políticas de quarentena da AWS levanta preocupações sobre a eficácia das medidas de segurança em vigor. A campanha, no entanto, mantém sua atividade, indicando que os atacantes podem explorar credenciais expostas com sucesso, mesmo quando políticas de segurança são aplicadas.
Operação Automatizada
A Palo Alto Networks descobriu que o atacante provavelmente utiliza ferramentas automatizadas para clonar continuamente repositórios públicos do GitHub e identificar chaves AWS expostas. Isso destaca a importância de proteger as credenciais AWS e a necessidade de educar as organizações sobre a exposição inadvertida dessas informações sensíveis.
Impacto da Campanha
A campanha Elektra-Leak serve como um lembrete para as organizações de aplicar práticas de segurança robustas. A exposição de credenciais IAM pode resultar em sérias consequências, incluindo o comprometimento de recursos e atividades maliciosas, como a mineração de criptomoedas.
Para lidar com essa ameaça, a Palo Alto Networks recomenda que as organizações revoguem imediatamente conexões API vinculadas a credenciais AWS IAM expostas. Além disso, é aconselhável remover essas credenciais e gerar novas. Utilizar credenciais de curta duração para tarefas dinâmicas em ambientes de produção é uma prática altamente recomendada para aumentar a segurança.
Em resumo, a campanha Elektra-Leak destaca a necessidade de vigilância contínua e a implementação de medidas de segurança rigorosas para proteger as credenciais AWS e os recursos da nuvem.
Lembrando que este artigo se baseia em informações disponíveis até o momento e a situação pode evoluir com o tempo.
Sou um profissional na área de Tecnologia da informação, especializado em monitoramento de ambientes, Sysadmin e na cultura DevOps. Possuo certificações de Segurança, AWS e Zabbix.