Представители хакерской группы HTP в подробностях объяснили, каким образом и по какой причине они взломали хостера Linode в середине апреля.
В данном случае, Linode просто оказался на их пути, а целью атаки была другая хакерская группа ac1db1tch3z, которая попыталась использовать «терабитную DDoS-пушку» HTP, враги вычислили HTP через один из принадлежащих им ботнетов, Zodiac.
Обнаружив вторжение, HTP быстро откатилась в резервную сеть и начала контратаку. Как выяснилось, ac1db1tch3z использовали сервис SwiftIRC, нейм-серверы которого располагались как раз у Linode.
HTP не смогли сразу взломать Linode, зато успешно использовали 1day-эксплойт против их регистратора Name.com. Через него хакеры получили пароль для управления доменом и подняли прозрачный прокси для сбора логинов Linode, а затем поставили там бэкдор и получили полный доступ.
В дальнейшем события развивались очень интересно: ребята из HTP обнаружили у себя активность ФБР и поняли, что кто-то из своих сливает инфу «федералам». Они затаились, чтобы убедиться в наличии «крота» и вычислить его. Именно по этой причине HTP не уведомили Linode, а дождались, пока это сделает ФБР.
Только после этого они связались с Linode и выдвинули условие, что те должны упомянуть хакерскую группу HTP в своем официальном пресс-релизе, и тогда они сотрут всю похищенную информацию, в том числе 159 тыс. кредитных карт, имена пользователей, хэши паролей и проч. Компания Linode согласилась и опубликовала пресс-релиз (скриншот).
В свою очередь, хакеры из HTP стерли всю информацию, полученную у Linode, и опубликовали в открытом доступе только информацию с серверов Name.com: см. файл registrardata.txt. Они говорят, что хоть и не получили выкупа от Linode, но все равно извлекли пользу из этой операции, потому что сумели выяснить личность «крысы», работающей на ФБР.
