Naruszenie bezpieczeństwa w Grafana Labs. Cyberprzestępcy przechwycili token uwierzytelniający do środowiska GitHub i wykradli kod źródłowy z prywatnych repozytoriów

Grafana jest otwartoźródłową platformą służącą do wizualizacji danych, stosowaną nie tylko w IT, ale również w sektorach finansowych. Pozwala na tworzenie paneli na podstawie różnych metryk, dzięki czemu analitycy mogą w jednym miejscu monitorować kluczowe wskaźniki w czasie rzeczywistym. Wychwycenie anomalii czy też podjęcie decyzji w oparciu o zaobserwowane trendy, z pomocą Grafany staje się o wiele szybsze i wręcz intuicyjne. Z tego powodu narzędzie jest powszechnie stosowane zarówno w korporacjach jak i w mniejszych zespołach deweloperskich.

TLDR:

• Na jednym z portali monitorujących aktywność grup cyberprzestępczych pojawił się wpis o wycieku danych z Grafany.
• Odpowiedzialność za atak wzięła grupa CoinbaseCartel.
• Przedstawiciele firmy potwierdzili fakt wystąpienia incydentu. 
• Jako wektor ataku posłużył token uwierzytelniający do środowiska GitHub.
• Cyberprzestępcy wykradli kod źródłowy prywatnych repozytoriów, grożąc upublicznieniem danych w przypadku niezapłacenia okupu. Zawartość repozytoriów oraz dane użytkowników i kontrahentów są bezpieczne.
• Respektując zalecenia FBI, przedstawiciele Grafany stanowczo odmówili negocjacji.

Jak donosi Grafana za pośrednictwem platformy X, w ostatnim czasie firma padła ofiarą ataku hakerskiego, w wyniku którego nieuprawniona strona uzyskała dostęp do kodu źródłowego rozwiązania, hostowanego w prywatnych repozytoriach GitHub. Nie zostało dokładnie sprecyzowane o jaki produkt chodzi. Sugerując się jednak oświadczeniem firmy, można przypuszczać, że celem atakujących była Grafana Enterprise lub Grafana Cloud.

Warto dodać, że zespół bezpieczeństwa Grafany dowiedział się o incydencie w momencie, gdy cyberprzestępcy zaczęli pobierać kod. Mechanizmy bezpieczeństwa (canary tokens), umieszczone w wielu miejscach w strukturze katalogów, pozwoliły na identyfikację zagrożenia. W następstwie tego alarmu wykradziony token został natychmiast unieważniony, a atakujący utracili dostęp do repozytoriów.

Mimo iż przedstawiciele firmy nie poinformowali, w jaki sposób atakujący weszli w posiadanie tokena uwierzytelniającego do środowiska GitHub, społeczność badaczy przypuszcza, że wektorem ataku była podatność Pwn Request w usłudze GitHub Actions (szczegółowy opis podatności dostępny tutaj).

Schemat ataku wygląda następująco: atakujący tworzy fork publicznego repozytorium, wprowadza modyfikacje w kodzie, a następnie zgłasza Pull Request. W przypadku gdy automatyczne skrypty testujące, zaimplementowane w projekcie są źle skonstruowane, złośliwy kod napastnika wykona się wewnątrz bezpiecznego środowiska. W ten sposób cyberprzestępca może wykraść tokeny uwierzytelniające, czy też inne produkcyjne sekrety.

Najprawdopodobniej cyberprzestępcy wykorzystali publiczne repozytorium Grafany, przygotowali złośliwy fork oraz zgłosili Pull Request. W efekcie wykradli token uwierzytelniający. W celu zatarcia śladów usunęli swój fork, a zdobyte poświadczenia wykorzystali do uzyskania nieuprawnionego dostępu do infrastruktury firmy. Ich celem były prywatne repozytoria, z których pobrali komercyjny kod źródłowy. 

Następnie cyberprzestępcy wysunęli żądania okupu w zamian za nieupublicznienie wykradzionych danych. Przedstawiciele Grafany stanowczo odmówili negocjacji, powołując się na oficjalne rekomendacje FBI. Agencja wyraźnie podkreśla, że płacenie okupu w żaden sposób nie gwarantuje odzyskania danych ani tego, że nie zostaną one sprzedane innym podmiotom. Co więcej, uleganie żądaniom motywuje jedynie inne grupy cyberprzestępcze do kolejnych ataków.

Odpowiedzialność za atak, wzięła grupa CoinbaseCartel, znana z zaawansowanych ataków na firmy technologiczne oraz późniejszych prób wymuszania. 

Przedstawiciele Grafany informują, że jest prowadzona analiza powłamaniow, a szczegóły zostaną opublikowane po zakończeniu prac. Uspokajają przy tym, że dane kontrahentów nie zostały wykradzione, a incydent dotyczył wyłącznie kodu źródłowego. Potwierdzają również, że zawartość repozytoriów nie została w żaden sposób zmodyfikowana, a celem atakujących była kradzież danych i szantaż.

Źródło: x.com 

~_secmike