Seguindo o recente hack do Gentoo Linux, a equipe de segurança da distribuição começou a investigar como a invasão foi feita. O relatório publicado mostra exatamente como os criminosos conseguiram invadir suas contas do GitHub e incorporar código malicioso.
A investigação revela como o hack do Gentoo Linux no GitHub foi feito
Na semana passada, vi uma invasão de hacker na conta principal do GitHub do Gentoo Linux. Esta é uma das distribuições mais populares do sistema operacional gratuito que é conhecido por ser usado principalmente por usuários avançados, administradores de sistema e engenheiros de rede por causa de seu sistema de gerenciamento de pacote exclusivo que compila o software instalado pelo usuário a partir do código-fonte. A razão pela qual as pessoas escolhem o Gentoo é devido às suas opções de personalização inerentes, permitindo que seja usado em várias situações com facilidade.
Infelizmente, na semana passada, a equipe de segurança postou um anúncio afirmando que os hackers de computador conseguiram acessar sua conta do GitHub e incorporar um código malicioso que pode ter infectado usuários finais e desenvolvedores. Uma investigação completa foi encomendada a fim de revelar como os hackers conseguiram entrar nele. A equipe do Gentoo preparou um relatório completo que foi publicado online em sua página wiki revelando detalhes sobre o ataque.
Os criminosos conseguiram obter acesso a uma senha usada pela equipe do administrador. A equipe de investigação confirmou que uma possível causa poderia ter sido esquemas de adivinhação e coleta de informações que, em última análise, foram usados para descobrir a senha. Consequentemente, os repositórios do GitHub foram disponibilizados para os hackers. É usado para hospedar vários códigos e projetos de infraestrutura. Felizmente, isso não inclui os principais repositórios de aplicativos que são usados pelo público em geral para baixar pacotes ou instruções de pacote, nem inclui os lançamentos de distribuição.
Detalhes da sequência de hack do Gentoo Linux no GitHub
Após a intrusão, os hackers removeram as contas do desenvolvedor e criaram uma fictícia que acionou automaticamente uma resposta por e-mail que permitiu aos desenvolvedores reagir quase instantaneamente. A equipe de investigação afirma que, se esta medida não for implementada, os hackers poderiam ter mantido seu acesso por mais tempo, o que teria causado um impacto muito mais prejudicial.
Os hackers conseguiram criar dois usuários mal-intencionados que têm privilégios administrativos por meio dos quais as manipulações do GitHub foram feitas. No curto espaço de tempo entre a intrusão inicial e a resposta vinda da equipe Gentoo, o coletivo criminoso foi capaz de fazer o seguinte:
- Manipulação de usuários - Remoção de credenciais de conta e adição de contas de hackers por meio das quais as ações são feitas.
- Adição de arquivos - Uma das ações do hacker foi fazer upload de um readme.txt arquivo contendo mensagens racistas.
- arquivos Modificação - Os analistas revelaram que os invasores alteraram os e-mails de faturamento para redirecionar quaisquer dados financeiros para suas próprias contas.
- Inserção de código malicioso - Os hackers incluíram um comando em alguns dos ebuild arquivos que estão hospedados lá. Se o arquivo for acessado e executado em um computador local, todo o conteúdo do computador será removido.
Assim que a equipe for alertada da intrusão, eles entram em contato com o GitHub e fecham o serviço. Seguindo esta ação, eles começaram a cooperar com a equipe de segurança do Gentoo a fim de rastrear os perpetradores do crime. Os relatórios de investigação indicam que em uma das primeiras mensagens do GitHub para o Gentoo Linux o host ofereceu recomendações de segurança para mitigar ataques futuros, como a adição de opções de autenticação de dois fatores.
Seguindo a descoberta da violação do Gentoo Linux no GitHub, a equipe também iniciou uma investigação completa de todas as contas e serviços para se certificar de que não há outras fraquezas também. Os resultados foram negativos - a intrusão foi feita apenas contra o GitHub.
Enquanto a conta do GitHub estava encerrada, ocorreram várias tentativas de acesso de hackers. Consequentemente, eles foram bloqueados e as precauções tomadas pela equipe do Gentoo Linux irão prevenir futuros incidentes. Vários dias após o incidente, o GitHub e o Gentoo relataram que é seguro abrir a conta pública assim que todas as ações maliciosas forem corrigidas.
A equipe do Gentoo Linux configurou uma página de status que é atualizada ao vivo, pode ser acessado aqui.
Martin Beltov
Martin formou-se na publicação da Universidade de Sofia. Como a segurança cibernética entusiasta ele gosta de escrever sobre as ameaças mais recentes e mecanismos de invasão.
Me siga: