Los investigadores de la Unit 42 identifican una campaña activa denominada EleKtra-Leak, capaz de realizar una segmentación automatizada de las credenciales de administración de identidades y accesos (IAM) de AWS y expuestas dentro de los repositorios públicos de GitHub. Como resultado, el actor malicioso asociado con la campaña pudo crear múltiples instancias de AWS Elastic Compute (EC2) que utilizaron para operaciones de cryptojacking de amplio alcance y larga duración. El equipo de la Unit 42 considera que estas operaciones han estado activas durante al menos dos años y siguen activas hoy en día.

Palo Alto Networks, líder mundial en ciberseguridad, sospecha que el atacante fue capaz de detectar y utilizar las credenciales de IAM expuestas dentro de los cinco minutos posteriores a su exposición inicial en GitHub. Este hallazgo destaca específicamente cómo los actores de amenazas pueden aprovechar las técnicas de automatización en la nube para lograr sus objetivos de expandir sus operaciones de cryptojacking.

HoneyCloud: una investigación de Prisma Cloud
El proyecto HoneyCloud es una operación de investigación del equipo de Prisma Cloud Security para exponer un entorno en la nube totalmente comprometedor que está diseñado para monitorear y rastrear cualquier operación maliciosa que ocurra. Prisma Cloud utiliza este para recopilar inteligencia sobre posibles escenarios de ruta de ataque y operaciones de actores de amenazas en un intento de proporcionar soluciones defensivas para sus clientes en la nube y utilizado en la operación EleKtra-Leak.

Del 30 de agosto al 6 de octubre de 2023, identificaron 474 mineros únicos que eran instancias de Amazon EC2 potencialmente controladas por actores. Debido a que los actores minaron Monero, un tipo de criptomoneda que incluye controles de privacidad, no pudieron rastrear lo necesario para obtener cifras exactas de cuánto ganaron los actores de estas amenazas.

Según el equipo de investigación, el actor de amenazas parece haber utilizado herramientas automatizadas para clonar continuamente GitHub público repositorios y busque credenciales de IAM de Amazon Web Services (AWS) expuestas. A su vez, parece haber incluido en la lista de bloqueo las cuentas de AWS que exponen rutinariamente las credenciales de IAM, en lo que Unit 42 considera que es un esfuerzo por evitar que los investigadores de seguridad sigan sus operaciones.

Es posible que los actores de amenazas los hayan percibido como trampas muy obvias. Para contrarrestar esta operación de protección, se automatizó la creación de cuentas aleatorias de AWS y de usuario con credenciales de IAM dirigidas y excesivamente permisivas. Esto le permitió a la Unit 42 seguir los movimientos del actor. El equipo de ciberseguridad confirmó esta información en un repositorio de GitHub generado aleatoriamente que expuso públicamente las credenciales de IAM del investigador

Según el Informe de amenazas en la nube de la Unit 42 Vol. 7, el 83% de las organizaciones exponen credenciales codificadas de forma rígida dentro de los repositorios de código de producción. El informe ofrece recomendaciones que las organizaciones pueden utilizar para mejorar la seguridad en torno a las credenciales de IAM.

El equipo asegura que los usuarios y las organizaciones son responsables de las configuraciones, la aplicación de parches, el mantenimiento y la supervisión de la seguridad de sus aplicaciones en la nube, las políticas de IAM y los recursos utilizados. Por lo que los clientes de Palo Alto Networks reciben protección contra este tipo de problemas a través de las funciones como un módulo de integración continua y entrega continua (CI/CD) de Prisma Cloud, mediante la supervisión de los eventos de auditoría de GitHub, como la clonación de repositorios de GitHub o Palo Alto Networks Cortex XDR.