Οι ερευνητές ασφαλείας προειδοποιούν ότι οι χάκερ μπορούν να κάνουν κατάχρηση των διαδικτυακών πλατφορμών εκμάθησης προγραμματισμού – online programming integrated development environments (IDEs) – για να εξαπολύσουν εξ αποστάσεως επιθέσεις στον κυβερνοχώρο, να κλέψουν δεδομένα και να σαρώσουν για ευάλωτες συσκευές, απλά χρησιμοποιώντας έναν web browser.
Δείτε επίσης: Το νέο malware OrBit κλέβει δεδομένα από συσκευές Linux
Τουλάχιστον μία τέτοια πλατφόρμα, γνωστή ως DataCamp, επιτρέπει στους απειλητικούς παράγοντες να κάνουν compile κακόβουλα εργαλεία, να φιλοξενούν ή να διανέμουν malware και να συνδέονται με εξωτερικές υπηρεσίες.
Το DataCamp παρέχει integrated development environments (IDEs) σε σχεδόν 10 εκατομμύρια χρήστες που θέλουν να μάθουν την επιστήμη των δεδομένων χρησιμοποιώντας διάφορες γλώσσες προγραμματισμού και τεχνολογίες (R, Python, Shell, Excel, Git, SQL).
Ως μέρος της πλατφόρμας, οι χρήστες του DataCamp αποκτούν πρόσβαση στον προσωπικό τους χώρο εργασίας που περιλαμβάνει ένα IDE για την εξάσκηση και την εκτέλεση προσαρμοσμένου κώδικα, τη μεταφόρτωση αρχείων και τη σύνδεση με βάσεις δεδομένων.
Το IDE επιτρέπει επίσης στους χρήστες να εισάγουν βιβλιοθήκες Python, να κάνουν λήψη και compile respositories και στη συνέχεια να εκτελούν μεταγλωττισμένα προγράμματα. Με άλλα λόγια, οτιδήποτε χρειάζεται ένας απειλητικός παράγοντας για να ξεκινήσει μια απομακρυσμένη επίθεση απευθείας από την πλατφόρμα DataCamp.
Το DataCamp είναι ανοιχτό για κατάχρηση
Μετά το responding σε ένα περιστατικό όπου ένας απειλητικός παράγοντας μπορεί να είχε χρησιμοποιήσει τους πόρους της DataCamp για να κρύψει την προέλευση της επίθεσης, ερευνητές της εταιρείας κυβερνοασφάλειας Profero αποφάσισαν να διερευνήσουν αυτό το σενάριο.
Διαπίστωσαν ότι το προηγμένο online Python IDE της DataCamp πρόσφερε στους χρήστες τη δυνατότητα να εγκαταστήσουν μονάδες τρίτων που επέτρεπαν τη σύνδεση σε έναν κάδο αποθήκευσης Amazon S3.
Δείτε επίσης: Ransomware ομάδες μεταφέρονται από το Cobalt Strike στο Brute Ratel
Ο Omri Segev Moyal, Διευθύνων Σύμβουλος της Profero, λέει σε μια αναφορά που κοινοποιήθηκε στο BleepingComputer ότι δοκίμασαν αυτό το σενάριο στην πλατφόρμα DataCamp και μπόρεσαν να αποκτήσουν πρόσβαση σε έναν κάδο S3 και να κάνουν exfiltrate όλα τα αρχεία στο περιβάλλον του χώρου εργασίας στον ιστότοπο της πλατφόρμας.
Ο ερευνητής λέει ότι η δραστηριότητα που προέρχεται από το DataCamp είναι πιθανό να περάσει απαρατήρητη και «ακόμη και όσοι επιθεωρήσουν περαιτέρω τη σύνδεση θα βρεθούν σε αδιέξοδο επειδή δεν υπάρχει γνωστή οριστική πηγή που να αναφέρει το εύρος IP του Datacamp».
Η έρευνα για αυτό το σενάριο επίθεσης προχώρησε περαιτέρω και οι ερευνητές προσπάθησαν να εισάγουν ή να εγκαταστήσουν εργαλεία που χρησιμοποιούνται συνήθως σε μια κυβερνοεπίθεση, όπως το εργαλείο network mapping Nmap.
Δεν ήταν δυνατή η απευθείας εγκατάσταση του Nmap, αλλά το DataCamp επέτρεψε τη μεταγλώττιση του και την εκτέλεση του binary από το compilation directory.
Η ομάδα απόκρισης περιστατικών του Profero έλεγξε και εάν μπορούσαν να ανεβάσουν αρχεία χρησιμοποιώντας ένα terminal και να λάβουν ένα link προς κοινοποίηση. Κατάφεραν να ανεβάσουν το EICAR – το τυπικό αρχείο για τη δοκιμή ανίχνευσης από λύσεις antivirus και να λάβουν ένα link για τη διανομή του.
Η σημερινή αναφορά του Profero σημειώνει ότι το download link θα μπορούσε να χρησιμοποιηθεί για τη λήψη πρόσθετου malware σε ένα μολυσμένο σύστημα χρησιμοποιώντας ένα απλό web request.
Επιπλέον, αυτά τα download links μπορούν να χρησιμοποιηθούν σε άλλους τύπους επιθέσεων, όπως το hosting malware για επιθέσεις phishing ή από malware για τη λήψη πρόσθετων payloads.
Δείτε επίσης: Maui ransomware: Η κυβέρνηση των ΗΠΑ προειδοποιεί για επιθέσεις!
Η DataCamp είπε ότι “έχουν λάβει εύλογα μέτρα” για να αποτρέψουν το abuse που επηρεάζει άλλους χρήστες στην πλατφόρμα και ότι παρακολουθούν τα συστήματά τους για ανάρμοστη συμπεριφορά.
Αν και η Profero δεν επέκτεινε την έρευνά της σε άλλες πλατφόρμες μάθησης, οι ερευνητές πιστεύουν ότι το DataCamp δεν είναι η μόνη πλατφόρμα που θα μπορούσαν να καταχραστούν οι χάκερ.
Πηγή πληροφοριών: bleepingcomputer.com
){kind=link}