Por dentro do incidente do BWSSB: como um arquivo de ambiente exposto permitiu a venda de mais de 290 mil registros de candidatos e acesso raiz ao banco de dados

Sumário executivo

Este relatório apresenta uma análise abrangente de um incidente de segurança envolvendo o Conselho de Abastecimento de Água e Esgoto de Bangalore (BWSSB). O incidente diz respeito à venda não autorizada do acesso root direto ao banco de dados, comprometendo mais de 290 mil registros de usuários, todos avaliados em $500.

A equipe STRIKE da CloudSEK tem monitorado ativamente esse incidente. Nossa investigação investiga os possíveis vetores de ataque explorados pelo Threat Actor para obter acesso não autorizado a esses dados. Ao analisar possíveis pontos de entrada, configurações incorretas e lapsos de segurança, pretendemos reconstruir a sequência de eventos que levaram a essa violação.

Análise e atribuição

Informações do Post

Em 10 de abril de 2025 CloudSEKda plataforma contextual de risco digital de IA XV Vigília descobriu um agente de ameaça com o nome piratas_gold alegando vender o despejo de dados e o acesso root direto ao banco de dados do BWSSB.

‍

A publicação inicial do agente da ameaça especificou uma quantia a pagar de $500 pelo acesso ao banco de dados BWSSB comprometido. No entanto, após o engajamento direto, o ator demonstrou um alto nível de urgência e pareceu disposto a negociar preços significativamente mais baixos, indicando um potencial desespero para vender.

A postagem alegou que o acesso ao banco de dados exporia registros de 291.212 usuários. Foi explicitamente declarado que os dados comprometidos não incluíam as senhas do usuário. Além disso, a postagem apresentou algumas linhas de dados de amostra.

‍

Análise técnica e potencial IAV (vetor de acesso inicial)

Os pesquisadores da CloudSEK conduziram um exame detalhado da postagem do agente da ameaça, que incluiu uma referência ao subdomínio owc.bwssb.gov.in, usado como um portal de aplicativos para conexão de água.

O reconhecimento subsequente do subdomínio revelou a presença de um endpoint exposto que corresponde a Administrador, uma ferramenta de gerenciamento de banco de dados amplamente usada que fornece uma interface baseada na Web para realizar operações administrativas em vários sistemas de gerenciamento de banco de dados.

O envolvimento com o agente da ameaça validou ainda mais a importância do endpoint identificado. Durante a interação, o ator confirmou que o endpoint estava sendo usado ativamente para obter acesso direto no nível raiz ao banco de dados subjacente.

‍

‍

Uma análise mais aprofundada do subdomínio revelou a presença de um exposto.arquivo env. Nesse caso, o arquivo continha credenciais em texto simples associado ao banco de dados MySQL. Após a verificação, as credenciais foram consideradas válidas. Além disso, uma amostra exclusiva compartilhada pelo ator da ameaça indicou que ele estava usando o mesmo nome de usuário encontrado no .env arquivo para fazer login.

A disponibilidade dessas credenciais, em conjunto com a interface adminer.php exposta, permitiria que o agente da ameaça obtivesse acesso total ao banco de dados.

‍

Com base na inteligência disponível e nas evidências corroborantes, podemos concluir com alta confiança que o agente da ameaça obteve acesso não autorizado ao banco de dados BWSSB, composto por mais de 290.000 registros de usuários, aproveitando as credenciais válidas do banco de dados expostas em um arquivo.env acessível ao público.

Por favor, observe - No momento da redação deste relatório, o arquivo.env não estava mais acessível e as credenciais anteriormente expostas haviam sido tornadas inválidas. No entanto, o agente da ameaça alegou manter o acesso por meio de um backdoor. O CloudSEK não verificou essa afirmação de forma independente.

Perfil do ator ameaçador - pirates_gold

O agente da ameaça operando sob o pseudônimo piratas_gold foi identificado como o indivíduo responsável por anunciar o acesso ao banco de dados BWSSB comprometido. A análise da atividade do fórum clandestino indica que piratas_gold ingressou no BreachForums em setembro de 2024 e, desde então, estabeleceu uma presença moderada na comunidade.

No momento da reportagem, o ator tinha uma pontuação de reputação de 60 e era autor de mais de 39 postagens sugerindo envolvimento ativo no comércio de dados, vendas de acesso ilícito ou atividades cibercriminosas relacionadas.

Organizações anteriores visadas:

• Avaliações de Auxxx
• Vision Brindes
• AC on-line
• ISTV.uz
• Farmácia Internacional
• U-F-L.net
• Banco Syariah AlSalaam

Regiões e setores visados:

Motivado principalmente por ganhos financeiros, o grupo de agentes de ameaças geralmente tem como alvo os seguintes setores:

• Comércio eletrônico
• Assistência médica
• Finanças
• Serviços financeiros
• Adulto

‍

Modus Operandi

O agente específico da ameaça emprega uma abordagem multifacetada para comprometer metas e lucrar com dados roubados:

• Violações de dados: Explora vulnerabilidades e configurações incorretas para obter acesso não autorizado aos bancos de dados organizacionais.
• Corretora de acesso: Vende acesso ao banco de dados em nível raiz e outras contas comprometidas.
• Vendas de despejo de dados: Monetiza as violações vendendo depósitos de dados roubados em fóruns clandestinos.

Impacto e gravidade do incidente

• Acesso administrativo completo: O login com as credenciais expostas forneceu ao agente da ameaça privilégios de nível raiz, permitindo controle administrativo completo sobre o banco de dados.
• Sabotagem de infraestrutura e manipulação de dados: O acesso no nível raiz permite a modificação ou exclusão de dados operacionais críticos, como registros de pagamento ou registros de reclamações. Isso pode interromper os serviços públicos essenciais, corroer a confiança do público e dificultar as funções administrativas dentro do BWSSB.
• Exposição extensiva de dados: O banco de dados contém várias tabelas, incluindo:
  
  • Dados de pagamento
  • Dados do aplicativo
  • Dados de reclamação
  • Registros do sistema
• Compromisso de PII: A tabela de aplicativos sozinha é válida Mais de 290.000 registros contendo informações confidenciais de identificação pessoal (PII), incluindo: Nome completo, número de telefone, endereço completo, ID de e-mail, número Aadhaar e outros detalhes críticos do candidato.
• Campanhas direcionadas de phishing e engenharia social: Os dados comprometidos podem alimentar ataques de phishing altamente direcionados contra cidadãos e funcionários. As PII detalhadas aumentam a credibilidade da comunicação fraudulenta, aumentando a probabilidade de uma exploração bem-sucedida.

Recomendações

• Realize uma auditoria de segurança abrangente: Realize uma auditoria aprofundada da infraestrutura afetada para identificar e corrigir quaisquer vulnerabilidades ou backdoors remanescentes que possam persistir após o incidente.
• Revogue todas as credenciais expostas e potencialmente comprometidas: Certifique-se de que todas as credenciais do banco de dados e do aplicativo, especialmente aquelas armazenadas anteriormente no arquivo.env, sejam alternadas. Implemente práticas rígidas de gerenciamento de segredos para evitar a exposição futura de credenciais.
• Remova o acesso público às interfaces administrativas: Restrinja imediatamente o acesso a endpoints administrativos confidenciais, como adminer.php, por meio de listas brancas de IP, acesso à VPN ou remoção completa do domínio público.

Referências

• *Fonte de inteligência e confiabilidade da informação - Wikipedia
• ^#Protocolo de semáforo - Wikipedia