Инфраструктура, используемая для поддержки и распространения ядра операционной системы Linux, в течение двух лет, начиная с 2009 года, была заражена сложным вредоносным ПО, которому удалось завладеть одним из наиболее тщательно охраняемых ресурсов разработчиков: файлами /etc/shadow, которые хранились в зашифрованном виде. данные паролей более чем 550 пользователей системы, сообщили исследователи во вторник.
Неизвестные злоумышленники, стоящие за взломом, заразили как минимум четыре сервера внутри kernel.org, интернет-домена, лежащего в основе обширной сети разработки и распространения Linux, сообщили исследователи из охранной компании ESET. Получив криптографические хэши для 551 учетной записи пользователя в сети, злоумышленники смогли преобразовать половину паролей в открытый текст, вероятно, с помощью методов взлома паролей и использования расширенной функции кражи учетных данных, встроенной в вредоносное ПО. Оттуда злоумышленники использовали серверы для рассылки спама и выполнения других гнусных действий. Четыре сервера, вероятно, были заражены и вылечены в разное время, причем два последних сервера были вылечены в какой-то момент в 2011 году.
Кража ключей от ядра Kernel.org
Заражение kernel.org стало известно в 2011 году, когда специалисты по поддержке ядра обнаружили, что 448 учетных записей были скомпрометированы после того, как злоумышленникам каким-то образом удалось получить беспрепятственный, или «корневой», доступ к системе к серверам, подключенным к домену. Специалисты по обслуживанию отказались от обещания провести вскрытие взлома, и это решение ограничило понимание инцидента общественностью.
Помимо раскрытия количества скомпрометированных учетных записей пользователей, представители Linux Kernel Organization не предоставили никаких подробностей, кроме заявления о том, что заражение:
- Произошло не позднее 12 августа 2011 г. и не было обнаружено еще 17 дней.
- Установлен готовый руткит, известный как Phalanx, на несколько серверов и персональных устройств, принадлежащих старшему разработчику Linux.
- Изменены файлы, которые серверы и конечные пользовательские устройства внутри сети использовали для подключения через OpenSSH, реализацию протокола SSH для защиты удаленных подключений.
В 2014 году исследователи ESET заявили, что атака 2011 года, вероятно, заразила серверы kernel.org вторым вредоносным ПО, которое они назвали Ebury. Вредоносное ПО, по словам компании, представляло собой библиотеку вредоносного кода, которая при установке создавала бэкдор в OpenSSH, предоставлявший злоумышленникам удаленную корневую оболочку на зараженных хостах без необходимости использования действительного пароля. Менее чем за 22 месяца, начиная с августа 2011 года, Ebury распространился на 25 000 серверов. Помимо четырех серверов, принадлежащих организации Linux Kernel, инфекция также затронула один или несколько серверов внутри хостинга, а также неназванного регистратора доменов и провайдера веб-хостинга.
В 47-страничном отчете, обобщающем 15-летнюю историю Ebury, говорится, что заражение сети kernel.org началось в 2009 году, на два года раньше, чем ранее считалось, что домен был скомпрометирован. В отчете говорится, что с 2009 года вредоносное ПО, обитающее на OpenSSH, заразило более 400 000 серверов, все из которых работают под управлением Linux, за исключением примерно 400 серверов FreeBSD, дюжины серверов OpenBSD и SunOS и как минимум одного Mac.
Исследователь Марк-Этьен М. Левей писал:
В нашей статье 2014 года мы упоминали, что существуют доказательства того, что сайт kernel.org, на котором размещен исходный код ядра Linux, стал жертвой Эбери. Имеющиеся в нашем распоряжении данные раскрывают дополнительные подробности инцидента. Ebury был установлен как минимум на четырех серверах, принадлежащих Linux Foundation, в период с 2009 по 2011 год. Судя по всему, на момент взлома эти серверы действовали как почтовые серверы, серверы имен, зеркала и хранилища исходного кода. Мы не можем точно сказать, когда Ebury был удален с каждого из серверов, но, поскольку он был обнаружен в 2011 году, вполне вероятно, что два сервера были скомпрометированы на протяжении двух лет: один — на один год, а другой — на шесть месяцев.
У злоумышленника также были копии файлов /etc/shadow, которые в общей сложности содержали 551 уникальную пару имени пользователя и хешированного пароля. Пароли в открытом виде для 275 из этих пользователей (50%) находятся в распоряжении злоумышленников. Мы полагаем, что пароли в открытом виде были получены с помощью установленного похитителя учетных данных Ebury и методом грубой силы.
В электронном письме исследователь сообщил, что заражения Ebury и Phalanx, по-видимому, представляют собой отдельные угрозы, совершенные двумя несвязанными группами угроз. Представители Linux Kernel Organization не ответили на электронные письма с вопросом, известно ли им об отчете ESET и верны ли его утверждения. Нет никаких признаков того, что какое-либо заражение привело к изменению исходного кода ядра Linux.
