Banner Aktuelle IT-Sicherheit Online-Schulungen Rabatt
Free

Git-Lücke gefährdet massenhaft Zugangsdaten weltweit : 10.000 Git-Repositories durch EMERALDWHALE gehackt

Ein massiver Angriff hat 10.000 Git-Repositories kompromittiert und sensible Anmeldedaten öffentlich gemacht. Der Codename EMERALDWHALE steht für eine raffinierte Kampagne, die durch falsch konfigurierte Git-Einstellungen Schwachstellen nutzt. Entwickler sind jetzt gefordert, ihre Systeme umgehend abzusichern.

Lesezeit 2 Min.

Die Aktion mit dem Codenamen EMERALDWHALE hat über 10.000 private Repositories gesammelt und in einem Amazon S3-Speicher-Bucket abgelegt, der ursprünglich einem früheren Opfer gehörte. In diesem Speicher fanden sich rund 15.000 gestohlene Zugangsdaten, die inzwischen von Amazon entfernt wurden. Laut einem Bericht von Sysdig umfassen die gestohlenen Daten Anmeldedaten von Cloud-Anbietern, E-Mail-Diensten und weiteren Plattformen. Die Angreifer scheinen diese Zugangsdaten hauptsächlich für Phishing und Spam nutzen zu wollen.

Wie gelangen Angreifer an Git- und Cloud-Zugangsdaten?

Obwohl die Operation technisch nicht sehr anspruchsvoll ist, setzen die Kriminellen eine ganze Reihe von privaten Tools ein, um Zugangsdaten zu stehlen und an Git-Konfigurationsdateien, Laravel-Umgebungsdateien und Web-Rohdaten zu gelangen. Die Verantwortlichen hinter EMERALDWHALE konnten bisher keiner bekannten Gruppe oder einem bestimmten Bedrohungsakteur zugeordnet werden.

EMERALDWHALE nutzt ein spezielles Toolset, das gezielt nach Servern mit offenen Git-Repository-Konfigurationsdateien sucht. Dafür wird ein breites Spektrum an IP-Adressen gescannt, um potenziell verwundbare Server zu identifizieren und Anmeldeinformationen zu extrahieren und zu prüfen.

Die gestohlenen Zugangstoken dienen dann dazu, öffentliche und private Repositorys zu klonen und dabei weitere im Quellcode versteckte Anmeldeinformationen zu sammeln. Alle gesammelten Daten werden anschließend in einem Amazon S3-Bucket gespeichert.

Zu den wichtigsten Programmen, die EMERALDWHALE dafür verwendet, gehören MZR V2 und Seyzo-v2. Diese Tools werden auf Untergrundmarktplätzen angeboten und können mit einer Liste von IP-Adressen gefüttert werden, um nach offenen Git-Repositories zu suchen und diese auszunutzen.

Diese Listen werden häufig mithilfe legitimer Suchmaschinen wie Google Dorks und Shodan erstellt, ebenso wie mit Scanning-Tools wie MASSCAN.

Cloud-Daten im Visier: Der Wert von Zugangsdaten auf dem Schwarzmarkt

Sysdig stellte außerdem fest, dass eine Liste mit über 67.000 URLs, die den Pfad „/.git/config“ enthalten, für 100 Dollar über Telegram verkauft wird. Das deutet darauf hin, dass es einen Markt für Git-Konfigurationsdateien gibt.

„EMERALDWHALE hatte es nicht nur auf Git-Konfigurationsdateien abgesehen, sondern auch auf offene Laravel-Umgebungsdateien“, so Miguel Hernández von Sysdig. Diese .env-Dateien enthalten oft zahlreiche Zugangsdaten, unter anderem für Cloud-Anbieter und Datenbanken. „Der Schwarzmarkt für Anmeldedaten, insbesondere für Cloud-Dienste, wächst rasant. Dieser Angriff zeigt, dass es nicht ausreicht, nur auf das Management von Zugangsdaten zu setzen, um eine Umgebung abzusichern.“

Sicherheitsmaßnahmen: Git-Repositories absichern und Zugänge rotieren

Diese Art von Angriff verdeutlicht, wie wichtig es ist, Git-Konfigurationen ordnungsgemäß abzusichern. Eine häufige Schwachstelle ist die unzureichende Absicherung von .git-Verzeichnissen und die fehlende Einschränkung der Zugriffsrechte, wodurch Angreifer auf Repository-Inhalte zugreifen und diese missbrauchen können. Entwickler sollten darauf achten, Git-Konfigurationsdateien wie .git/config oder credentials vor unberechtigtem Zugriff zu schützen und regelmäßig auf potenziell exponierte Daten zu überprüfen.

Es wäre ratsam, dass betroffene Unternehmen und Entwickler jetzt ihre Git- und Cloud-Konfigurationen genau überprüfen und Sicherheitsmaßnahmen wie Zugangsbeschränkungen und das regelmäßige Rotieren von Zugangsdaten implementieren, um weiteren Schaden zu verhindern.