Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 
Les événements

PROGRAMME DES GSDAYS 28 JANVIER 2025

    

Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

Sysdig découvre EMERALDWHALE, une opération cyber mondiale ayant mené au vol de plus de 15 000 informations d’identification de services Cloud

octobre 2024 par Sysdig

Les chercheurs de Sysdig ont découvert l’opération mondiale EMERALDWHALE. D’après la TRT (Threat Research Team) de Sysdig, les acteurs de la menace ont ciblé les fichiers de configurations Git exposées pour dérober des informations d’identifications appartenant à des fournisseurs de services Cloud, des fournisseurs de courriers de boîtes mails et plusieurs autres services.

Des informations de compte vendues pour des centaines de dollars – des campagnes de phishing en vue

D’après l’équipe de chercheurs de Sysdig, le phishing et le spam semblent être l’objectif principal du vol des informations d’identification. Les informations d’identification peuvent, en effet, valoir des centaines de dollars par compte. Les comptes eux-mêmes ne sont pas le seul moyen pour En plus de commercialiser les comptes, EMERALDWHALE peut également vendre les listes de cibles sur diverses places de marché.

La campagne a utilisé plusieurs outils privés qui ont abusé de plusieurs services web mal configurés, permettant aux attaquants de voler des informations d’identification, de cloner des dépôts privés et d’extraire des informations d’identification de services Cloud de leur code source. Les informations d’identification de plus de 10 000 référentiels privés ont été collectés au cours de l’opération. Les données volées étaient stockées dans un bac bucket S3 d’une précédente victime.

L’originalité de l’opération est dans la cible

Même si la TRT Sysdig précise que EMERALDWHALE n’est pas l’opération la plus sophistiquée observée car elle s’est appuyée uniquement sur des configurations erronées plutôt que sur des vulnérabilités, ce qui n’est pas nouveau, l’opération a tout de même menée au vol de 15 000 données d’identification. Ce qui la rend singulière est la cible : des fichiers de configuration Git exposés. Ces fichiers et les informations d’identification qu’ils contiennent permettent d’accéder à des référentiels privés qui sont normalement difficiles d’accès. Dans un dépôt privé, les développeurs peuvent être plus enclins à inclure des secrets, car cela leur donne un faux sentiment de sécurité.

Cette attaque montre que la gestion des secrets ne suffit pas à sécuriser un environnement

En effet, il y a tout simplement trop d’endroits d’où les informations d’identification peuvent fuir. La surveillance du comportement de toutes les identités associées aux informations d’identification devient une nécessité pour se protéger contre ces menaces.

La gestion de l’exposition et les scans de vulnérabilité peuvent aider à détecter des problèmes, tels que la visualisation des fichiers de configuration Git. Il est important d’effectuer ces analyses d’un point de vue interne et externe afin d’obtenir une vue complète de ce que les attaquants voient.


Voir les articles précédents

    

Voir les articles suivants