Kaip vienas nutekintas raktas atvėrė populiariausios pasaulyje stebėsenos sistemos branduolį

Įmonei, kuri savo reputaciją sukūrė remdamasi stebėjimo (angl. observability) galimybėmis, ironija būti užkluptai nepasiruošusiai retai praslysta pro saugumo bendruomenės akis. „Grafana Labs“, visur esančios dirbtiniu intelektu pagrįstos vizualizavimo platformos valdytoja, neseniai pati atsidūrė po mikroskopu, kurį paprastai suteikia kitiems. Nors „Grafana“ infrastruktūra sukurta užtikrinti detalų matomumą sudėtingiausiuose pasaulio tinkluose, vienas vienintelis netinkamai valdomas kredencialas pavertė tą perimetrą beprasmiu.

Užkulisiuose incidentas prasidėjo ne nuo sudėtingo „nulinės dienos“ (angl. zero-day) išnaudojimo ar kompleksinės socialinės inžinerijos kampanijos, o nuo tylaus „GitHub“ rakto (angl. token) perėmimo. Šis raktas veikė kaip pagrindinis raktas, suteikęs pašalinei šaliai prieigą prie privačių įmonės saugyklų. Todėl tai, kas turėjo būti saugi, kritiškai svarbi kūrimo aplinka, tapo atvira biblioteka palyginti naujai grėsmių grupei, žinomai kaip „CoinbaseCartel“.

Kaip žmogus, reguliariai bendraujantis su „baltųjų skrybėlių“ tyrėjais PGP šifruotais kanalais, esu matęs šį scenarijų ne kartą. Architektūrinis paradoksas čia yra stulbinantis: milijonų dolerių vertės gynybos strategija, tikriausiai apimanti pažangų galinių įrenginių aptikimą ir griežtą tinklo segmentavimą, buvo apeita paprasta simbolių eilute, kuri neturėjo būti prieinama.

„GitHub“ rakto nutekėjimo anatomija

Šiuolaikiniame „DevOps“ procese raktai yra automatizavimo gyvybinė jėga. Jie leidžia paslaugoms bendrauti tarpusavyje be žmogaus įsikišimo. Tačiau rizikos požiūriu jie taip pat yra didelė atsakomybė. Šiuo konkrečiu atveju užpuolikas pasinaudojo kompromituotu raktu, kad klonuotų „Grafana“ pradinį kodą. Vertinant atakos paviršių retrospektyviai, išryškėja bendra informacinio saugumo tiesa: mes dažnai tiek daug laiko praleidžiame stiprindami priekines duris, kad pamirštame apsaugoti raktus, paliktus po skaitmeniniu durų kilimėliu.

„Grafana Labs“ patvirtino, kad „neįgaliota šalis“ sugebėjo atsisiųsti jos kodų bazę ir vėliau bandė šantažuoti įmonę. Tai klasikinė grėsmių kraštovaizdžio kaita. Užuot diegę kenkėjiškas išpirkos reikalaujančias programas sistemoms užrakinti (kas iškart sukeltų prieinamumo pavojaus signalus), užpuolikai susikoncentravo į konfidencialumą. Pavogę pradinį kodą, jie siekė sukurti skaitmeninio įkaito situaciją, grasindami paviešinti patentuotą logiką, kuri valdo pažangiausias „Grafana“ funkcijas.

Galutinio vartotojo požiūriu, didžiausią susirūpinimą visada kelia duomenų vientisumas. Jei hakeriai turi pradinį kodą, ar jie gali rasti pažeidžiamumų, kad užpultų daugiau nei 7 000 klientų, kurie pasitiki „Grafana“? Nors tiekimo grandinės atakos grėsmė yra reali, „Grafana Labs“ pareiškė, kad pažeidimo metu nebuvo pasiekta jokių klientų duomenų ar asmeninės informacijos. Jų teismo ekspertizė rodo, kad nutekėjimas apsiribojo „GitHub“ aplinka, o ne gamybinėmis sistemomis, kuriose saugomi klientų duomenys.

Atsisakymas mokėti išpirką: atsparumo atvejo analizė

Kai buvo gautas reikalavimas sumokėti išpirką, „Grafana Labs“ susidūrė su pasirinkimu, kuris apibrėžia įmonės charakterį. Daugelis įmonių, bijodamos reputacinės žalos dėl viešo kodo nutekinimo, galėjo apsvarstyti galimybę sumokėti. Tačiau, veikdama proaktyviai, „Grafana“ pasirinko atsparesnį kelią: visišką skaidrumą ir atsisakymą derėtis.

Šis sprendimas sutampa su paskelbta FTB pozicija, kurioje teigiama, kad išpirkos mokėjimas tik skatina kitus įsitraukti į neteisėtą veiklą. Mano patirtis rodo, kad išpirkos mokėjimas yra tarsi bandymas gesinti gaisrą benzinu; tai gali suteikti laikiną atokvėpį, bet galiausiai maitina kibernetinio nusikalstamumo ekosistemą. Pagal savo prigimtį nėra jokios garantijos, kad užpuolikas ištrins pavogtus duomenis gavęs apmokėjimą. Tiesą sakant, daugelis grupių pasilieka kopiją būsimam spaudimui arba vis tiek parduoda ją „tamsiajame žiniatinklyje“ (angl. dark web).

„Grafana“ proaktyvus atskleidimas platformoje „X“ (buvęs „Twitter“) yra vadovėlinis teisingai atlikto reaktyvaus skaidrumo pavyzdys. Užuot laukę, kol istorija nutekės per neoficialius kanalus, jie patys perėmė pasakojimą. Toks požiūris sumažina „baimę, netikrumą ir abejones“ (FUD), kurios dažnai lydi pažeidimus, susijusius su aukšto lygio technologijų milžinais, tokiais kaip NVIDIA, „Microsoft“ ir „Salesforce“.

Žmogiškasis faktorius ir architektūrinis paradoksas

Mes dažnai kalbame apie žmogiškąją ugniasienę kaip apie pirmąją gynybos liniją, tačiau automatizuotų CI/CD procesų pasaulyje tą ugniasienę dažnai apeina automatizuoti procesai. Čia veikiantis paradoksas yra tas, kad kuo labiau plečiamas ir automatizuojamas mūsų kūrimas, tuo labiau centralizuota tampa rizika. Vienas raktas, jei jis yra netinkamos apimties arba saugomas taip, kad juo būtų galima pasinaudoti, gali panaikinti visas kitas saugumo priemones.

Pagalvokite apie „nulinį pasitikėjimą“ (angl. zero trust) kaip apie VIP klubo apsauginį prie kiekvienų vidinių durų. Idealioje nulinio pasitikėjimo architektūroje, net jei užpuolikas gauna „GitHub“ raktą, jis neturėtų automatiškai galėti eksportuoti visos kodų bazės be papildomo patikrinimo. Tačiau daugelis organizacijų vis dar vertina vidinį tinklą arba kūrimo aplinką kaip „patikimą zoną“. Kai jau esi viduje, tu esi viduje. Šis incidentas mums primena, kad tinklo perimetras yra pasenusi sąvoka; vartotojo tapatybė – arba raktas – yra naujasis perimetras.

Grėsmės vertinimas: kas yra „CoinbaseCartel“?

Nors pramonė vis dar dėlioja „CoinbaseCartel“ profilį, atrodo, kad jie laikosi „tik šantažo“ modelio, kurį išpopuliarino tokios grupės kaip „Lapsus$“. Jie nenori užšifruoti jūsų serverių; jie nori jūsų intelektinės nuosavybės. Žvelgiant į grėsmių aplinką, tai yra vyraujanti tendencija. Pradinis kodas yra didelės vertės, nes jį galima patikrinti dėl pažeidžiamumų, jį gali klonuoti konkurentai arba naudoti kuriant efektyvesnes kenkėjiškas programas.

Vertindamos duomenis kaip toksišką turtą – tai, ką pavojinga laikyti ir ką reikia saugoti itin rūpestingai – įmonės gali geriau pasiruošti šiems scenarijams. „Grafana“ atsakas rodo, kad jie suprato savo turto vertę, bet taip pat suvokė, kad jų prekės ženklo vientisumas yra vertas daugiau nei jų kodo paslaptis.

Strateginės įžvalgos verslo ir IT lyderiams

Šis pažeidimas yra griežtas priminimas, kad net techniškai pažangiausios organizacijos yra pažeidžiamos dėl netinkamo kredencialų valdymo. Norėdami išvengti panašaus likimo, apsvarstykite šiuos kritiškai svarbius žingsnius:

1. Audituokite raktų teises (mažiausių privilegijų principas): Užtikrinkite, kad „GitHub“ asmeniniai prieigos raktai (PAT) ir „OAuth“ raktai būtų detalūs. Raktas, naudojamas konkrečiai CI/CD užduočiai, neturėtų turėti leidimo klonuoti kiekvienos organizacijos saugyklos.
2. Įdiekite paslapčių nuskaitymą: Naudokite įrankius, kad proaktyviai nuskaitytumėte visas saugyklas ieškodami įrašytų paslapčių, API raktų ir žetonų. Tai turėtų būti privaloma kodo pateikimo (angl. commit) proceso dalis, o ne reaktyvi priemonė.
3. Priverstinis raktų galiojimo laikas: Raktai niekada neturėtų būti nuolatiniai. Įgyvendinkite dažno keitimo politiką, kad sumažintumėte galimybių langą užpuolikui, jei kredencialas būtų kompromituotas.
4. Sustiprinkite programuotojų darbo eigą: Pereikite nuo ilgalaikių raktų prie trumpalaikės, tapatybe pagrįstos prieigos. Jei užpuolikas pavogs raktą, kurio galiojimas baigiasi po 15 minučių, jo padaryta žala bus gerokai ribota.
5. Ištobulinkite incidentų valdymo planą: „Grafana“ gebėjimas greitai panaikinti kredencialus ir pradėti teismo ekspertizę rodo, kad jie turėjo tvirtą planą. Išbandykite savo planą pratybomis, kurios konkrečiai imituoja pradinio kodo vagystę.

Kelias į priekį „Grafana“ vartotojams

Tūkstančiams organizacijų, naudojančių „Grafana“ savo kritinių sistemų stebėjimui, tiesioginė rizika atrodo maža. Atidėjus pleistrų diegimą į šalį, pagrindinis dėmesys turėtų būti skiriamas vidinei kredencialų higienai. Jei naudojate „Grafana“ papildinius ar integracijas, kurioms reikia jų pačių raktų, dabar pats laikas audituoti tas teises.

„Grafana Labs“ pažadėjo pasidalinti išsamesne analize po įvykio, kai bus baigta jų teismo ekspertizė. Tuo tarpu jų atsisakymas mokėti „CoinbaseCartel“ yra laimėjimas visai pramonei. Tai signalizuoja, kad nors pradinis kodas yra vertingas, jis nėra vertingesnis už skaidrumo ir saugumo principus.

Žengiant toliau į 2026-uosius, kova už mūsų skaitmeninę infrastruktūrą ir toliau vyks dėl mažų, atrodytų, nereikšmingų detalių – pavyzdžiui, vieno nutekinto rakto. Šiuo atveju apsauginis prie durų galbūt trumpam nusisuko, tačiau reakcija po to parodė, kad namuose vis dar vyrauja tvarka.

Šaltiniai:

• NIST Special Publication 800-204D (Strategies for Microservices Security)
• MITRE ATT&CK Framework: T1528 (Steal Application Access Token)
• FBI Internet Crime Complaint Center (IC3) Ransomware Guidance
• GitHub Security Best Practices for Enterprise

Atsakomybės apribojimas: Šis straipsnis skirtas tik informaciniais ir švietimo tikslais ir nepakeičia profesionalaus kibernetinio saugumo audito ar incidentų valdymo paslaugų.