Serangan Digital: File .env Ekspos Data Penting

Baru-baru ini, sebuah kampanye pemerasan besar-besaran mengancam banyak organisasi dengan memanfaatkan file yang dapat diakses publik, yang dikenal sebagai file variabel environment (.env). File ini berisi informasi penting seperti nama pengguna dan kata sandi untuk aplikasi cloud dan media sosial.

Menurut laporan terbaru dari Palo Alto Networks Unit 42, kampanye ini menunjukkan beberapa kesalahan keamanan besar. Di antaranya adalah paparan file variabel lingkungan yang seharusnya bersifat pribadi, penggunaan kredensial yang tidak memiliki batas waktu, dan kurangnya penerapan prinsip hak istimewa minimum dalam sistem. Serangan ini dilakukan melalui infrastruktur Amazon Web Services (AWS) yang telah terinfeksi, yang kemudian digunakan untuk memindai lebih dari 230 juta target unik untuk data sensitif.

Dalam serangan ini, sekitar 110.000 domain menjadi sasaran. Hasilnya, lebih dari 90.000 variabel unik berhasil dikumpulkan dari file .env. Sekitar 7.000 variabel berasal dari layanan organisasi cloud, sementara 1.500 variabel terhubung dengan akun media sosial.

Unit 42 menjelaskan bahwa para penyerang berhasil mendapatkan data dari penyimpanan cloud yang terinfeksi. Meskipun mereka tidak mengenkripsi data sebelum meminta tebusan, mereka berhasil mengekstrak data dan menempatkan catatan tebusan di dalam penyimpanan cloud yang telah disusupi.

Yang menarik dari serangan ini adalah bahwa mereka tidak memanfaatkan kelemahan atau kesalahan pada layanan cloud itu sendiri. Sebaliknya, mereka memanfaatkan file .env yang tidak sengaja dipublikasikan di aplikasi web yang tidak aman untuk mendapatkan akses awal.

Setelah berhasil menembus sistem cloud, para penyerang melanjutkan dengan mencari cara untuk memperluas akses mereka. Mereka menggunakan kunci akses AWS Identity and Access Management (IAM) untuk membuat peran baru dan meningkatkan hak akses mereka. Peran IAM yang memiliki izin administratif ini kemudian digunakan untuk membuat fungsi AWS Lambda yang secara otomatis memindai internet, menargetkan jutaan domain dan alamat IP.

“Fungsi ini mengambil daftar target dari bucket S3 pihak ketiga yang dapat diakses publik, yang dieksploitasi oleh pelaku ancaman,” kata peneliti Unit 42, termasuk Margaret Zimmermann, Sean Johnstone, William Gamazo, dan Nathaniel Quist. “Fungsi Lambda yang berbahaya ini kemudian melakukan permintaan untuk setiap file variabel lingkungan yang terpapar di domain-target, seperti https:///.env.”

Jika domain yang ditargetkan memiliki file lingkungan yang terlihat, kredensial dalam file tersebut diambil dan disimpan di folder baru dalam bucket AWS S3 yang dikendalikan oleh pelaku. Bucket ini kemudian dihapus setelah ditemukan oleh AWS.

Kampanye ini juga secara khusus menargetkan file .env yang berisi kredensial Mailgun. Ini menunjukkan bahwa pelaku mencoba menggunakan kredensial tersebut untuk mengirim email phishing dari domain yang sah, melewati perlindungan keamanan.

Serangan ini berakhir dengan pelaku yang mengekstrak dan menghapus data sensitif dari bucket S3 korban, lalu mengunggah catatan tebusan yang meminta pembayaran untuk menghindari penjualan informasi di web gelap. Upaya pelaku untuk membuat sumber daya Elastic Cloud Compute (EC2) baru untuk penambangan mata uang kripto ilegal juga gagal.

Saat ini, belum jelas siapa pelaku kampanye ini. Mereka menggunakan VPN dan jaringan TOR untuk menyembunyikan identitas mereka. Namun, Unit 42 melaporkan bahwa dua alamat IP yang terdeteksi, masing-masing dari Ukraina dan Maroko, terkait dengan aktivitas eksfiltrasi S3.

“Para penyerang dalam kampanye ini tampaknya menggunakan teknik otomatisasi yang luas untuk beroperasi dengan cepat dan efektif,” kata para peneliti. “Ini menunjukkan bahwa kelompok pelaku ancaman ini sangat terampil dan paham tentang teknik arsitektur cloud tingkat lanjut.”