Offensive Services

Git-Repository gelöscht – Entwickler erpresst!

Aktualisiert am

Das Geschäft mit der Erpressung floriert im Internet seit geraumer Zeit – eine neue Masche trifft nun Entwickler, bei denen das öffentlichen Git-Repository gelöscht wird. Zurück bleibt nur eine Notiz mit dem Wallet, auf das ca. 0,1 Bitcoins überwiesen werden sollen um wieder an die Daten zu gelangen. Ganz unschuldig sind die Entwickler nicht. Da die meisten Entwickler ein lokales Repository haben, hält sich der Schaden in Grenzen. Interessant und kritisch zu gleich ist die Attacke trotzdem.

Zwei-Faktor-Auth hätte Erpressungswelle verhindert

Dreh- und Angelpunkt des Angriffs sind, wie so oft, die Zugangsdaten. Anfangs wurde spekuliert ob die Daten erraten wurden – also mit einer Brute-Force Attacke vorgegangen ist. Dieser Verdacht hat sich jedoch schnell erledigt. Nach kurzer Recherche hat sich herausgestellt, dass die Zugangsdaten selber hochgeladen worden sind. Die Angreifer konnten sich die Zugangsdaten im Klartext aus der ./git/config herunterladen. Aus Bequemlichkeit und Unachtsamkeit geht man diesen Schritt. Grundsätzlich spricht gegen das Anlegen einer solchen Datei auch nichts – nur sollte diese natürlich nicht den Weg in das öffentliche Git-Repository finden.

Als zusätzliche Sicherheit sollte die Zwei-Faktor-Authentifizierung aktiviert werden. Diese bietet zwar auch keine 100%ige Sicherheit – vermeidet aber die Ausnutzung solcher Flüchtigkeitsfehler. Mittlerweile bieten alle größeren Codehoster, wie z.B. GitLab, diesen Service an.

Bitcoin zahlen – sonst bleibt das Git-Repository gelöscht!

Nachdem Angreifer sich erfolgreich in den Account eingeloggt haben, wurden die Daten gelöscht. Kaum war das Git-Repository gelöscht, verbleibt nur eine kurze Mitteilung. Dort werden die Entwickler erpresst. Die Angreifer wollen 0,1 Bitcoin haben – und zwar innerhalb von 10 Tagen. Falls der Entwickler der Aufforderung nicht nachkommt, werden die Daten endgültig gelöscht. Der Angreifer behauptet nämlich, dass er sich eine Kopie des Repos gezogen hat. Hat der Entwickler kein lokales Repository, wirds eng. Wer eine vollständige Kopie des Repositorys hat, kann es mit folgendem Befehl wiederherstellen:

git push origin HEAD:master --force

Betroffen sind private, kostenfreie Repositorys. GitLab bietet für kommezielle Kunden einen Service an, der vor Credentials im Repository warnt.

Eine Erinnerung an die, die nicht an einen Angriff geglaubt haben

Die leichteste Beute sind die, die sich nicht als Beute sehen. So auch in diesem Fall. Für die Allgemeinheit sind öffentliche Repositorys eine wichtige Anlaufstelle. Oft herrscht die Vermutung, dass man für einen Angriff schlichtweg nicht interessant ist. Dieser Vorfall beweist das Gegenteil. Am Ende des Tages ist das jedoch gut für alle.

Foto des Autors

Vincent Reckendrees

Hallo, ich bin Vincent Reckendrees und leite das Team Offensive Services bei der AWARE7 GmbH. In meinem Bachelor und Master Studium habe ich mich auf IT-Sicherheit spezialisiert und BSI zertifizierter IS-Penetrationstester. Meine Leidenschaft gilt Reverse Engineering, Hardware- und Web-Sicherheit. Als Experte für Penetrationstests finde ich Schwachstellen in Systemen und Netzwerken und nutze sie, um realistische Cyberangriffe zu simulieren und Sicherheitsmaßnahmen zu verbessern. Durch Reverse Engineering entdecke ich Fehler und Verbesserungsmöglichkeiten in Software und Hardware. Meine Fähigkeiten in Hardware- und Web-Sicherheit ermöglichen es mir, physische Geräte und Online-Plattformen vor einer Vielzahl von Cyberbedrohungen zu schützen und ihre Integrität und Zuverlässigkeit zu gewährleisten.