Datadog Security Labs warnt vor Kampagnen, die mittels inaktiver GitHub-Konten und kompromittierter Token gezielt Firmenstrukturen auskundschaften.
Das Sicherheitsunternehmen Datadog Security Labs hat mehrere miteinander überschneidende Kampagnen identifiziert, die systematisch Unternehmensorganisationen, Repositories und Benutzerkonten auf GitHub über die offizielle Programmierschnittstelle auskundschaften. Die Akteure nutzen dafür automatisierte Scraping-Tools mit unauffälligen Benutzerkennungen. Dabei kommen sogenannte Ghost-Konten zum Einsatz, die teilweise seit Jahren inaktiv waren, sowie kompromittierte OAuth-Token und persönliche Zugriffstoken von echten Anwendern. Julie Agnes Sparks, Senior Security Engineer bei Datadog, erklärte zu den Vorfällen:
„Betreiber verlassen sich auf automatisierte Scraping-Werkzeuge mit benutzerdefinierten oder legitim klingenden User-Agents und nutzen dabei GitHub-„Ghost“-Konten, die oft Jahre alt sind, oder kompromittierte OAuth-Token und persönliche Zugriffstoken (PATs) von legitimen Benutzern.“
Julie Agnes Sparks, Senior Security Engineer bei Datadog
Ausnutzung unauthentifizierter API-Abfragen
Die für die Angriffe genutzten Konten wurden vor zwei bis fielen Jahren erstellt und absichtlich über längere Zeiträume ungenutzt gelassen, bevor sie für den massenhaften Datenverkehr reaktiviert wurden. Diese Taktik dient dazu, Sicherheitsmechanismen zu umgehen, die neu registrierte Konten bei plötzlicher hoher Aktivität sperren würden. Da wesentliche Teile der GitHub-Schnittstellen ohne vorherige Anmeldung erreichbar sind, fügen sich die Abfragen unauffällig in den regulären Datenverkehr ein. Die Kampagnen umfassen die Abfrage öffentlicher Repositories, das Auslesen von Follower-Listen, das Erfassen von Gists und Organisationsmitgliedschaften sowie GraphQL-Abfragen gegen öffentliche Objekte. Dadurch erstellen die Angreifer ein exaktes Profil der Entwicklungsaktivitäten eines Unternehmens.
Klonen von privaten Repositories festgestellt
Obwohl sich die Aktivitäten in den meisten Fällen auf öffentlich zugängliche Daten beschränken, dokumentierten die Analysten auch schwerwiegendere Vorfälle. In ausgewählten Szenarien gelang es den Angreifern, über die ermittelten Daten und kompromittierten Token private Repositories betroffener Unternehmen vollständig zu klonen. Die einzelnen Anfragen fallen in automatisierten Protokollen kaum auf, da sie saubere Authentifizierungen nutzen oder auf freie Endpunkte zugreifen. Die Bedrohung zeigt sich erst in der Gesamtschau, wenn koordinierte Kontogruppen über Wochen hinweg synchron die Infrastrukturen verschiedener Firmen systematisch abarbeiten und schrittweise vom Ausspähen zum Kopieren interner Quellcodes übergehen.
(red)