Не так давно мы писали о том, что злоумышленники научились использовать легитимную инфраструктуру социальной сети для доставки достаточно правдоподобных на вид предупреждений о блокировке бизнес-аккаунта — с последующим угоном паролей. Оказывается, уже несколько месяцев очень похожим образом атакуют аккаунты разработчиков на GitHub, что не может не волновать корпоративную службу информационной безопасности (особенно если разработчики имеют административный доступ к корпоративным репозиториям на GitHub). Рассказываем о том, как устроена эта атака.
Оглавление
Угон аккаунтов на GitHub
Жертвам этой атаки приходят письма, отправленные с настоящего почтового адреса GitHub. В письмах говорится, что команда GitHub ищет опытного разработчика, которому компания готова предложить привлекательные условия — зарплату $180 000 в год плюс щедрый соцпакет. В случае заинтересованности в этой вакансии получателю письма предлагается подать заявку по ссылке.
Атака начинается с письма: GitHub якобы ищет разработчика на зарплату $180 000 в год. Источник
При этом письма действительно приходят с адреса notifications@github.com, который действительно принадлежит сервису. Внимательный получатель, вероятно, задумается, почему команда по подбору персонала использует при рассылке предложений работы адрес для уведомлений. Также его может смутить, что заголовок письма не имеет вообще никакого отношения к вакансии, а в конце перечисляется ряд имен пользователей GitHub.
Однако авторы письма рассылают его массово, поэтому их, вероятно, не смущает, что внимательные пользователи здесь отсеются. Злоумышленников вполне устроит та небольшая часть получателей, внимание которых будет настолько сконцентрировано на сумме зарплаты, что на нестыковки они не обратят внимание.
При переходе по ссылке из письма получатель попадает на страницу, которая притворяется карьерным сайтом GitHub. В частности, в ходе компании были замечены адреса githubtalentcommunity[.]online и githubcareers[.]online — в данный момент фишинговые сайты по ним уже недоступны.
На сайте по ссылке получателя просят авторизовать вредоносное OAuth-приложение. Источник
На сайте заинтересовавшихся вакансией разработчиков просят залогиниться в собственные аккаунты на GitHub и авторизовать новое OAuth-приложение. Оно запрашивает много прав доступа, в частности к приватным репозиториям, личным данным и обсуждениям. А также возможность удаления любого репозитория, администрируемого атакованным пользователем.
OAuth-приложение просит разрешить ему доступ к целому ряду опасных вещей. Источник
Помимо предложения работы в GitHub была замечена еще одна разновидность письма, в котором говорится о том, что платформа была взломана и для устранения последствий взлома нужно дать авторизацию ИБ-команде GitHub.
Вариант фишингового письма с предупреждением о взломе GitHub. Источник
Что дальше: очистка репозитория и требование выкупа
Если невнимательный разработчик выдает вредоносному OAuth-приложению все те права, которые оно запрашивает, то дальше злоумышленники начинают этими правами активно пользоваться. Они очищают все репозитории атакуемого, переименовывают их и оставляют в них единственный файл README.me.
Захваченные и очищенные взломщиками репозитории на GitHub, в которых были оставлены записки с требованием выкупа. Источник
В файле содержится текст, в котором говорится, что данные были скомпрометированы, но был сделан бэкап. Для восстановления данных предлагается связаться в Telegram с пользователем Gitloker.
Судя по всему, для рассылки этих писем используется система обсуждений GitHub. То есть злоумышленники от имени уже взломанных ими аккаунтов создают в произвольных темах сообщения с текстом письма и отметками некоторого количества пользователей. В итоге всем отмеченным пользователям приходят письма с адреса notifications@github.com. Вероятно, сразу после отправки эти сообщения удаляются.
Как защититься от подобных атак на GitHub-аккаунты
Опытные пользователи, и разработчики в первую очередь, часто считают себя неуязвимыми для фишинговых атак. Однако, как показывает эта история, их тоже можно застать врасплох: операторам описанной фишинговой кампании уже удалось захватить и очистить десятки репозиториев.
Чтобы ваши разработчики не стали жертвой данной атаки, им имеет смысл дать такие рекомендации.
Всегда внимательно проверяйте все детали письма и сопоставляйте его тему, текст и адрес отправителя. Если есть какие-то нестыковки — это почти наверняка не досадная ошибка, а самый настоящий фишинг.
Если вы получили подобное письмо от GitHub — не переходите по ссылке в нем и сообщите о письме службе поддержки платформы.
Никогда не авторизуйте неизвестные OAuth-приложения — как показывает эта история, последствия могут быть очень серьезными.
Периодически проверяйте в своем GitHub-аккаунте список авторизованных OAuth-приложений и удаляйте подозрительные.
Компаниям же мы рекомендуем следующее.
Использовать на всех устройствах надежное ИБ-решение с защитой от фишинга, которое вовремя предупредит об опасности и заблокирует вредоносный сайт.
Периодически проводить тренинги по информационной безопасности для своих сотрудников, включая девелоперов. Опыт работы с ИТ-системами вовсе не гарантирует безопасность, нужные навыки необходимо специально вырабатывать. Например, для этого можно использовать нашу интерактивную образовательную платформу Kaspersky Automated Security Awareness Platform.
Блог Касперского