ბოროტმოქმედები აღწევენ GitHub-ის მომხმარებლების პროფილებში და ტვირთავენ რეპოზიტორის კონტენტს
ინციდენტებზე რეაგირების ჯგუფი GitHub-იდან (SIRT) მომხმარებლებს ახალი ტიპის ფიშინგ თავდასხმის შესახებ აცნობებს. თავდასხმის დროს ბოროტმოქმედები იპარავენ რესურსის მომხმარებლების მონაცემებს სპეციალური ლენდინგ გვერდების მეშვეობით. აღნიშნული გვერდები აკოპირებენ GitHub – ის ავტორიზაციის ლეგიტიმურ გვერდებს.
ახალი თავდასხმის სახელად Sawfish მსვლელობაში ბოროტმოქმედები მომხმარებლის პროფილებში შეღწევასთან ერთად, მათ რეპოზიტორიში არსებული ფაილების გადმოტვირთვას ახორციელებენ. “თუ ბოროტმოქმედებმა მოიპოვეს მომხმარებლის პროფილზე წვდომა, მათ იმწამსვე შეუძლიათ დააგენერირონ წვდომის ტოკენი ან მოახდინონ OAuth აპლიკაციის ავტორიზაცია, რაც ჰაკერებს მისცემს პროფილზე წვდომის შენარჩუნების გზას იმ შემთხვევაშიც კი თუ მომხმარებელი შეცვლის პროფილის პაროლს” – აცხადებენ სპეციალისტები SIRT-დან.
თავდასხმა იწყება მსხვერპლის ელ-ფოსტაზე მოსული ფიშინგ წერილით, რომელშიც ბოროტმოქმედები ყველანაირად ცდილობენ მომხმარებელი აიძულონ შევიდეს ყალბ ბმულზე. ძირითადად წერილის შიგთავსი ეხება მომხმარებლის პროფილზე არასანქცირებულ წვდომას ან უსაფრთხოების ნორმების დარღვევას. ბმულზე გადასვლისთანავე მომხმარებელი ხვდება GitHub-ის გაყალბებულ საავტორიზაციო გვერდზე. ყალბ გვერდზე მონაცემების შეყვანისას მსხვერპლი ბოროტმოქმედს თავისი ხელით უგზავნის პროფილზე შესვლისთვის საჭირო ინფორმაციას. თუკი მომხმარებელი იყენებს ავტორიზაციის უსაფრთხოების TOTP აპლიკაციას, ყალბი გვერდი რეალური დროის რეჟიმში ახდენს ერთჯერადი კოდის გადაჭერას, მაგრამ ამასთან ერთად უნდა აღინიშნოს, თუ მომხმარებელი იყენებს აპარატულ უზრუნველყოფაზე დაფუძნებულ უსაფრთხოების მეთოდებს, ეს თავდასხმა არ იქნება წარმატებული და მომხმარებელი შეინარჩუნებს წვდომას საკუთარ პროფილზე მონაცემების გაჟონვის გარეშე.
SIRT – ის განცხადებით ამ ეტაპისთვის თავდასხმა კვლავ აქტიურია და ასევე ხორციელდება მსხვილი ორგანიზაციის თანამშრომლებზე მთელი მსოფლიოს მასშტაბით. მსხვერპლების ელ-ფოსტის მისამართებს ბოროტმოქმედები ღებულობენ GitHub-ის ღია კომიტებიდან.
SIRT – ის სპეციალისტების მიერ გამოქვეყნებულია იმ დომენური სახელების სია, რომლებიც იყო გამოყენებული თავდასხმების დროს. მათი უმრავლესობა ამ მომენტისთვის აღარ არის აქტიური, თუმცა სპეციალისტები აცხადებენ, რომ ბოროტმოქმედები კვლავ მუშაობენ ახალი დომენების და თავდასხმების შესაქმნელად.
თავდასხმებში მონაწილე აღმოჩენილი დომენების სია:
aws-update[.]net
corp-github[.]com
ensure-https[.]com
git-hub[.]co
git-secure-service[.]in
githb[.]co
glt-app[.]net
glt-hub[.]com
glthub[.]co
glthub[.]info
glthub[.]net
glthubb[.]info
glthube[.]app
glthubs[.]com
glthubs[.]info
glthubs[.]net
glthubse[.]info
slack-app[.]net
ssl-connection[.]net
sso-github[.]com
sts-github[.]com
tsl-github[.]com
