Os mantenedores da distribuição do Gentoo Linux revelaram o impacto e a “causa raiz” do ataque que viu hackers desconhecidos tomando o controle de sua conta do GitHub na semana passada e modificando o conteúdo de seus repositórios e páginas.
Os hackers não apenas conseguiram mudar o conteúdo dos repositórios comprometidos, mas também bloquearam os desenvolvedores do Gentoo de sua organização do GitHub.
Como resultado do incidente, os desenvolvedores não puderam usar o GitHub por cinco dias.
O que deu errado no Github do Gentoo?
Os desenvolvedores do Gentoo revelaram que os invasores conseguiram obter privilégios administrativos para sua conta do Github, depois de adivinhar a senha da conta.
A organização poderia ter sido salva se estivesse usando uma autenticação de dois fatores, o que exige uma senha adicional além da senha para obter acesso à conta.
“O invasor obteve acesso a uma senha de um administrador da organização. As evidências coletadas sugerem um esquema de senha em que a divulgação em um site facilitou adivinhar senhas de páginas não relacionadas”
Escreveu o Gentoo em seu relatório de incidentes .
Além disso, os desenvolvedores do Gentoo também não tinham uma cópia de backup dos detalhes da organização do GitHub.
O que mais?
O repositório systemd também não foi espelhado do Gentoo, mas foi armazenado diretamente no GitHub.
O que foi bem? (Felizmente)
No entanto, o projeto teve sorte de o ataque ser “alto”, já que derrubar todos os outros desenvolvedores da conta do GitHub direcionada fez com que eles fossem enviados por e-mail.
A ação rápida do Gentoo e do Github colocou um fim ao ataque em cerca de 70 minutos.
“O ataque foi alto; a remoção de todos os desenvolvedores fez com que todos fossem enviados por e-mail”, disseram os mantenedores do Gentoo. “Dada a credencial obtida, é provável que um ataque mais silencioso tenha fornecido uma janela de oportunidade mais longa”.
Além disso, o relatório também acrescentou que, ao forçar o envio de commits que tentaram remover todos os arquivos, o atacante tornou o “consumo downstream mais visível”, o que poderia ter “bloqueado o git pull de novo conteúdo para checkouts existentes em ‘git pull’. ”
Como o projeto disse anteriormente, os repositórios principais do Gentoo são mantidos na infraestrutura hospedada pelo Gentoo, e eles espelham no GitHub para “estar onde os contribuidores estão”.
Portanto, as chaves privadas da conta não foram afetadas pelo incidente e, portanto, pela infraestrutura hospedada pelo Gentoo.
Impacto do ataque cibernético
Como resultado do incidente, o Projeto Gentoo Proxy Maintainers foi impactado, pois muitos contribuidores de proxy contribuintes usam o GitHub para enviar solicitações pull, e todas as solicitações pull anteriores também foram desconectadas de seus commits originais e fechadas.
Os invasores também tentaram adicionar comandos “rm -rf” a vários repositórios, que, se executados, teriam apagado os dados do usuário de forma recursiva.
No entanto, é improvável que esse código seja executado pelos usuários finais devido a vários guardas técnicos em vigor.
O rm é um comando Unix que é usado para remover arquivos, diretórios e similares, e rm -rf denota uma remoção mais forçada, que “faria com que todos os arquivos acessíveis do sistema de arquivos atual fossem excluídos da máquina”.
Medidas tomadas para prevenir futuros ataques cibernéticos
Após o incidente, o Gentoo tomou muitas ações para evitar tais ataques no futuro. Essas ações incluem:
- Fazendo backups freqüentes de sua organização do GitHub;
- Ativar a autenticação de dois fatores por padrão na Organização GitHub do Gentoo, que eventualmente chegará a todos os usuários nos repositórios do projeto;
- Trabalhar em um plano de resposta a incidentes, especialmente para compartilhar informações sobre um incidente de segurança com os usuários;
- Apertar os procedimentos em torno da revogação de credenciais;
- Redução do número de usuários com privilégios elevados, auditoria de logins e publicação de políticas de senha que obrigam os gerenciadores de senhas;
- Apresentar suporte para 2FAs baseados em hardware para desenvolvedores Gentoo.
Atualmente, não se sabe quem esteve por trás do Hack. Assim, o Gentoo não disse se o incidente foi relatado à polícia para procurar o(s) hacker(s).
Você pode verificar se foi afetado seguindo este link
O relatório completo pode ser lido por aqui