Компрометация сканера уязвимостей Trivy привела к утечке секретных данных более чем в 1000 SaaS-средах
Злоумышленники скомпрометировали инструмент с открытым кодом Trivy, похитив привилегированный токен доступа через ошибку в конфигурации GitHub Actions. Нарушители получили доступ к секретным данным более чем 1000 SaaS-сред, а потенциальное число затронутых организаций может возрасти до 10 тыс. Киберпреступники, сотрудничающие с группами в США, Канаде и Великобритании, используют полученный доступ для вторичных атак и вымогательства.
В результате атаки на цепочку поставок был скомпрометирован инструмент с открытым исходным кодом Trivy, предназначенный для поиска уязвимостей и ошибок конфигурации в репозиториях. Как сообщает издание CyberScoop со ссылкой на сообщение компании Aqua Security, злоумышленники похитили привилегированный токен доступа в конце февраля, использовав ошибку в конфигурации среды GitHub Actions. Попытка компании заблокировать вторжение 1 марта путем смены учетных данных не увенчалась успехом, что позволило нарушителю сохранить доступ с использованием легитимных логинов. Вредоносные версии Trivy были опубликованы 19 марта.
По данным Mandiant, расследующей инцидент, на данный момент известно о более чем 1000 затронутых SaaS-средах. В компании прогнозируют, что число жертв по цепочке может возрасти еще на 500–1000 и потенциально достичь 10 тыс. организаций. В Mandiant отмечают, что в результате компрометации инструмента злоумышленники получили доступ к секретным данным (secrets) множества организаций, что, вероятно, приведет к вторичным атакам на программные пакеты и цепочки поставок.
Как сообщили в Mandiant, в ближайшие несколько месяцев ожидаются многочисленные сообщения о взломах и вторичные атаки. Отмечается, что киберпреступники, чья принадлежность пока не раскрывается, сотрудничают с несколькими группами, базирующимися в США, Канаде и Великобритании, и известны высокой агрессивностью в действиях, связанных с вымогательством.
Источник первоначальной атаки остается неопределенным. В Mandiant указывают, что учетные данные, предположительно, были похищены не из среды самой атакуемой организации, а из другой облачной среды, от внешнего поставщика бизнес-процессов, партнера или с личного компьютера инженера.
В Aqua Security сообщили, что компания Sygnia, участвующая в расследовании, выявила дополнительную подозрительную активность, связанную с несанкционированными изменениями в репозитории. Это указывает на то, что нарушитель восстанавливает доступ в рамках продолжающейся атаки. В Aqua подчеркивают, что продолжают отзывать и менять учетные данные во всех средах, при этом по-прежнему нет признаков компрометации коммерческих продуктов компании.
Как отмечается в аналитических материалах, многие злоумышленники уже используют полученный доступ для атак на новых жертв, что создает риски попыток вымогательства и дополнительных компрометаций программного обеспечения.
Ранее SecPost писал о том, что основатель Mandiant Кевин Мандиа запустил стартап Armadin, который разрабатывает автономных ИИ-агентов для защиты от кибератак. Компания привлекла $190 млн на ранней стадии от ведущих фондов, включая венчурное подразделение ЦРУ, чтобы противостоять угрозе атак с использованием искусственного интеллекта.
Читайте также
