Naruszenie bezpieczeństwa w Grafana Labs. Cyberprzestępcy przechwycili token uwierzytelniający do środowiska GitHub i wykradli kod źródłowy z prywatnych repozytoriów
Grafana jest otwartoźródłową platformą służącą do wizualizacji danych, stosowaną nie tylko w IT, ale również w sektorach finansowych. Pozwala na tworzenie paneli na podstawie różnych metryk, dzięki czemu analitycy mogą w jednym miejscu monitorować kluczowe wskaźniki w czasie rzeczywistym. Wychwycenie anomalii czy też podjęcie decyzji w oparciu o zaobserwowane trendy, z pomocą Grafany staje się o wiele szybsze i wręcz intuicyjne. Z tego powodu narzędzie jest powszechnie stosowane zarówno w korporacjach jak i w mniejszych zespołach deweloperskich.
TLDR:
Na jednym z portali monitorujących aktywność grup cyberprzestępczych pojawił się wpis o wycieku danych z Grafany.
Odpowiedzialność za atak wzięła grupa CoinbaseCartel.
Przedstawiciele firmy potwierdzili fakt wystąpienia incydentu.
Jako wektor ataku posłużył token uwierzytelniający do środowiska GitHub.
Cyberprzestępcy wykradli kod źródłowy prywatnych repozytoriów, grożąc upublicznieniem danych w przypadku niezapłacenia okupu. Zawartość repozytoriów oraz dane użytkowników i kontrahentów są bezpieczne.
Respektując zalecenia FBI, przedstawiciele Grafany stanowczo odmówili negocjacji.
Jak donosi Grafana za pośrednictwem platformy X, w ostatnim czasie firma padła ofiarą ataku hakerskiego, w wyniku którego nieuprawniona strona uzyskała dostęp do kodu źródłowego rozwiązania, hostowanego w prywatnych repozytoriach GitHub. Nie zostało dokładnie sprecyzowane o jaki produkt chodzi. Sugerując się jednak oświadczeniem firmy, można przypuszczać, że celem atakujących była Grafana Enterprise lub Grafana Cloud.
Oficjalne oświadczenie firmy informujące o wystąpieniu incydentu. Źródło: x.com
Warto dodać, że zespół bezpieczeństwa Grafany dowiedział się o incydencie w momencie, gdy cyberprzestępcy zaczęli pobierać kod. Mechanizmy bezpieczeństwa (canary tokens), umieszczone w wielu miejscach w strukturze katalogów, pozwoliły na identyfikację zagrożenia. W następstwie tego alarmu wykradziony token został natychmiast unieważniony, a atakujący utracili dostęp do repozytoriów.
Mimo iż przedstawiciele firmy nie poinformowali, w jaki sposób atakujący weszli w posiadanie tokena uwierzytelniającego do środowiska GitHub, społeczność badaczy przypuszcza, że wektorem ataku była podatność Pwn Request w usłudze GitHub Actions (szczegółowy opis podatności dostępny tutaj).
Schemat ataku wygląda następująco: atakujący tworzy fork publicznego repozytorium, wprowadza modyfikacje w kodzie, a następnie zgłasza Pull Request. W przypadku gdy automatyczne skrypty testujące, zaimplementowane w projekcie są źle skonstruowane, złośliwy kod napastnika wykona się wewnątrz bezpiecznego środowiska. W ten sposób cyberprzestępca może wykraść tokeny uwierzytelniające, czy też inne produkcyjne sekrety.
Najprawdopodobniej cyberprzestępcy wykorzystali publiczne repozytorium Grafany, przygotowali złośliwy fork oraz zgłosili Pull Request. W efekcie wykradli token uwierzytelniający. W celu zatarcia śladów usunęli swój fork, a zdobyte poświadczenia wykorzystali do uzyskania nieuprawnionego dostępu do infrastruktury firmy. Ich celem były prywatne repozytoria, z których pobrali komercyjny kod źródłowy.
Następnie cyberprzestępcy wysunęli żądania okupu w zamian za nieupublicznienie wykradzionych danych. Przedstawiciele Grafany stanowczo odmówili negocjacji, powołując się na oficjalne rekomendacje FBI. Agencja wyraźnie podkreśla, że płacenie okupu w żaden sposób nie gwarantuje odzyskania danych ani tego, że nie zostaną one sprzedane innym podmiotom. Co więcej, uleganie żądaniom motywuje jedynie inne grupy cyberprzestępcze do kolejnych ataków.
Oświadczenie firmy w sprawie próby wymuszenia okupu. Źródło: x.com
Odpowiedzialność za atak, wzięła grupa CoinbaseCartel, znana z zaawansowanych ataków na firmy technologiczne oraz późniejszych prób wymuszania.
Przedstawiciele Grafany informują, że jest prowadzona analiza powłamaniow, a szczegóły zostaną opublikowane po zakończeniu prac. Uspokajają przy tym, że dane kontrahentów nie zostały wykradzione, a incydent dotyczył wyłącznie kodu źródłowego. Potwierdzają również, że zawartość repozytoriów nie została w żaden sposób zmodyfikowana, a celem atakujących była kradzież danych i szantaż.