Не обращая на себя особого внимания, несколько злоумышленников последние два-три года провели массовое сканирование Интернета на предмет наличия файлов ENV, которые были случайно загружены и оставлены открытыми на веб-серверах.
Файлы ENV или файлы среды — это тип файлов конфигурации, которые обычно используются инструментами разработки.
Фреймворки, такие как Docker, Node.js, Symfony и Django используют файлы ENV для хранения переменных среды, таких как токены API, пароли и логины для входа в базу данных.
Из-за характера данных, которые они хранят, файлы ENV всегда должны храниться в защищенных папках.
«Я предполагаю, что ботнет сканирует эти файлы, чтобы найти сохраненные учетные данные, которые позволят злоумышленнику взаимодействовать с базами данных, такими как Firebase, экземпляры AWS и т. Д.», — Дэниел Банс, главный аналитик по безопасности SecurityJoes, сообщил ZDNet .
«Если злоумышленник может получить доступ к закрытым ключам API, он может злоупотребить программным обеспечением», — добавил Банс.
Более 1100 сканеров ENV активен только в этом месяце
Разработчики приложений часто получали предупреждения о вредоносные бот-сети сканируют файлы конфигурации GIT или закрытые ключи SSH, которые были случайно загружены в сеть, но сканирование файлов ENV было столь же распространенным как и первые два.
По данным охранной фирмы Greynoise, за последние три года для сканирования файлов ENV использовалось более 2800 различных IP-адресов, при этом за последний месяц было задействовано более 1100 сканеров.
Подобные сканирования были также зарегистрированы компанией Bad Packets, занимающейся разведкой угроз, которая отслеживала наиболее распространенные пути к файлам ENV в Twitter в течение последнего года.
Злоумышленники, которые идентифицируют файлы ENV, в конечном итоге загрузят файл, извлекут все конфиденциальные учетные данные, а затем взломают внутреннюю инфраструктуру компании.
Конечной целью этих последующих атак может быть что угодно: кража интеллектуальной собственности и коммерческих секретов, атаки программ-вымогателей или установка скрытых вредоносных программ для крипто-майнинга.
Разработчикам рекомендуется протестировать и проверить, доступны ли файлы ENV их приложений в Интернете, а затем защитить любой ENV файл, который был случайно открыт. Для открытых файлов ENV также необходимо изменить все токены и пароли.