Suite à la récente Gentoo Linux pirater l'équipe de sécurité de la distribution a commencé à enquêter sur la façon dont l'intrusion a été faite. Le rapport publié présente exactement comment les criminels ont pu pénétrer dans leurs comptes GitHub et embarqués code malveillant.
L'enquête révèle comment Gentoo Linux GitHub Hack Was Made
La semaine dernière a vu une intrusion de pirates dans le compte principal GitHub de Gentoo Linux. Ceci est l'une des distributions les plus populaires du système d'exploitation libre qui est bien connu pour être utilisé principalement par les utilisateurs avancés, les administrateurs système et les ingénieurs du réseau en raison de son système de gestion des paquets unique qui compile le logiciel installé par l'utilisateur à partir du code source. La raison pour laquelle les gens choisissent Gentoo est en raison de ses options de personnalisation propres lui permettant d'être utilisé dans diverses situations avec facilité.
Malheureusement, la semaine dernière, l'équipe de sécurité a publié une annonce indiquant que les pirates informatiques ont pu accéder à leur compte GitHub et intégrer le code malveillant qui peut en fin de compte avoir les utilisateurs finaux et les développeurs infectés. Une enquête approfondie a été commandée afin de montrer comment les pirates ont pu gagner l'entrée à elle. L'équipe Gentoo a préparé un rapport complet qui a été publié en ligne sur leur page wiki révélant des détails sur l'attaque.
Les criminels ont pu accéder à un mot de passe utilisé par le personnel de l'administrateur. L'équipe d'enquête a confirmé qu'une cause possible aurait pu être des systèmes devinettes et la collecte d'informations qui ont finalement été utilisés pour découvrir le mot de passe. Par conséquent, les dépôts GitHub ont été rendus accessibles aux pirates. Il est utilisé pour accueillir divers code d'infrastructure et des projets. Heureusement cela ne comprend pas les principaux référentiels d'application qui sont utilisés par le grand public pour télécharger les paquets ou les instructions du paquet, et ne comprend pas les communiqués de distribution.
Gentoo Linux GitHub Hack séquence Détails
Lors de l'intrusion des pirates ont enlevé les comptes de développeur et créé un mannequin qui a déclenché automatiquement une réponse par courriel qui a permis aux développeurs de réagir presque instantanément. L'équipe d'enquête indique que si cette mesure n'a pas été appliquée alors que les pirates auraient pu maintenir leur accès pour un temps plus long qui aurait causé un impact beaucoup plus dommageable.
Les pirates ont pu créer deux utilisateurs malveillants qui ont des privilèges administratifs par lesquels les manipulations GitHub ont été faites. Dans le peu de temps entre l'intrusion initiale et la réponse venant de l'équipe Gentoo le collectif criminel a pu faire ce qui suit:
- Les utilisateurs Manipulation - Suppression des informations d'identification de compte et l'ajout des comptes de pirate informatique par lequel les actions sont done.span>
- fichiers Addition - L'une des actions de piratage est de télécharger une readme.txt fichier contenant des messages racistes.
- Modification des fichiers - Les analystes ont révélé que les agresseurs ont changé les e-mails de facturation afin de rediriger les données financières à leurs propres comptes.
- Malicious Code d'insertion - Les pirates ont inclus une commande dans certains des ebuild les fichiers qui y sont hébergés. Si le fichier est accessible et exécuté sur un ordinateur local puis tout le contenu de l'ordinateur seront supprimés.
Une fois que l'équipe a été alerté de l'intrusion, ils ont pris contact avec GitHub et fermer le service. Suite à cette action, ils ont commencé à coopérer avec l'équipe de sécurité de Gentoo afin de traquer les auteurs du crime. Les rapports d'enquête indiquent que, dans l'un des premiers messages de GitHub à Gentoo Linux l'hôte leur a offert des recommandations de sécurité afin d'atténuer les attaques futures, telles que l'ajout d'options d'authentification à deux facteurs.
Suite à la découverte de la Gentoo Linux GitHub brèche l'équipe a également commencé une enquête approfondie sur tous les comptes et services afin de vous assurer qu'il n'y a pas d'autres faiblesses aussi bien. Les résultats ont été négatifs - l'intrusion a été faite uniquement contre GitHub seulement.
Alors que le compte GitHub a été arrêté il y a eu plusieurs tentatives d'accès pirates. Par conséquent, ils ont été bloqués et les précautions prises par l'équipe Linux Gentoo prévenir d'autres incidents. Plusieurs jours après l'incident à la fois GitHub et Gentoo ont signalé qu'il est sûr d'ouvrir le compte public dès que toutes les actions malveillantes ont été corrigées.
L'équipe Gentoo Linux a installé une page d'état qui est mis à jour en direct, ça peut être accessible ici.
Martin Beltov
Martin a obtenu un diplôme en édition de l'Université de Sofia. En tant que passionné de cyber-sécurité, il aime écrire sur les menaces les plus récentes et les mécanismes d'intrusion.
Suivez-moi: