Tras la reciente Gentoo Linux hackear equipo de seguridad de la distribución comenzó a investigar cómo se hizo la intrusión. El informe publicado muestra exactamente cómo los delincuentes han podido entrar en sus cuentas de GitHub y código malicioso incrustado.
La investigación revela cómo se hizo el Gentoo Linux GitHub Hack
La semana pasada vio una intrusión de hackers en la cuenta principal GitHub de Gentoo Linux. Esta es una de las distribuciones más populares del sistema operativo libre que es bien conocido por ser utilizado principalmente por usuarios avanzados, los administradores de sistemas e ingenieros de red debido a su sistema de gestión de paquetes único que compila el software instalado por el usuario desde el código fuente. La razón por la cual la gente elige Gentoo es debido a su inherente opciones de personalización que le permite ser utilizado en diversas situaciones con facilidad.
Por desgracia la semana pasada el equipo de seguridad publicó un anuncio que indica que los piratas informáticos han podido tener acceso a su cuenta de GitHub e incrustar código malicioso que en última instancia puede haber infectado a los usuarios finales y desarrolladores. Una investigación a fondo se ha encargado con el fin de revelar cómo los hackers han sido capaces de ganar la entrada a la misma. El equipo de Gentoo ha preparado un informe completo que ha sido publicado en línea en su página wiki revelando detalles sobre el ataque.
Los delincuentes fueron capaces de acceder a una contraseña utilizada por el personal del administrador. El equipo de investigación confirmó que una posible causa podría haber sido esquemas de adivinar y la recopilación de información que en última instancia se utilizaron para descubrir la contraseña. Por consiguiente, los repositorios de GitHub se hicieron accesibles a los hackers. Se utiliza para alojar varios proyectos de código y la infraestructura. Afortunadamente esto no incluye los principales repositorios de aplicaciones que son utilizados por el público en general acceder a los paquetes o instrucciones del paquete, ni tampoco incluye los comunicados de distribución.
Gentoo Linux GitHub Hack detalles Secuencia
Tras la intrusión de los piratas informáticos eliminan las cuentas de desarrollador y crearon una ficticia que desencadena automáticamente un correo electrónico de respuesta que permitió a los desarrolladores para reaccionan casi instantáneamente. El equipo de investigación afirma que si esta medida no se llevó a cabo a continuación, los hackers podrían haber mantenido su acceso por más tiempo que habría causado un impacto mucho más perjudicial.
Los hackers fueron capaces de crear dos usuarios maliciosos que tienen privilegios administrativos a través del cual se hicieron las manipulaciones de GitHub. En el corto tiempo entre la intrusión inicial y la respuesta desde la equipo de Gentoo el colectivo penal fue capaz de hacer lo siguiente:
- Manipulación de los usuarios - La eliminación de las credenciales de cuenta y la adición de cuentas de hackers a través del cual las acciones son done.span>
- adición archivos - Una de las acciones de hackers fue subir un léame.txt archivo que contiene mensajes racistas.
- Modificación archivos - Los analistas revelaron que los atacantes han cambiado los mensajes de correo electrónico de facturación con el fin de redirigir los datos financieros a sus propias cuentas.
- Código malicioso Inserción - Los piratas informáticos han incluido un comando en algunas de las ebuild archivos que se alojan allí. Si se accede al archivo y ejecuta en un ordenador local, entonces todos los contenidos del ordenador se eliminará.
Una vez que el equipo ha sido alertado de la intrusión se han puesto en contacto GitHub y cerrar el servicio. Después de esta acción que empezaron a cooperar con el equipo de seguridad de Gentoo con el fin de localizar a los autores del crimen. Los informes de investigación indican que en uno de los primeros mensajes de GitHub a Gentoo Linux el anfitrión les ha ofrecido recomendaciones de seguridad con el fin de mitigar los ataques futuros, tales como la adición de opciones de autenticación de dos factores.
Tras el descubrimiento de la GitHub Linux Gentoo romper el equipo también comenzó una investigación a fondo de todas las cuentas y servicios con el fin de asegurarse de que no hay otros puntos débiles, así. Los resultados fueron negativos - la intrusión se hizo únicamente contra GitHub solamente.
Mientras que la cuenta de GitHub estaba apagado, ha habido intentos de acceso a varias de hackers. En consecuencia, se han bloqueado y las precauciones tomadas por el equipo de Gentoo Linux evitarán futuros incidentes. Varios días después del incidente, tanto GitHub y Gentoo informaron de que es seguro para abrir una cuenta pública tan pronto como todas las acciones maliciosas se hubieran corregido.
El equipo de Gentoo Linux ha configurado una página de estado que se actualiza en vivo, puede ser visitada aquí.