На прошлой неделе бесплатный хостинг для программ Fosshub был скомпрометирован хакерами из команды Peggle Crew. Взломщики подменили установщики популярных приложений Audacity и Classic Shell малварью, затирающей MBR. Хакеры рассказали, как и зачем они это сделали.

В качестве цели для атаки взломщики выбрали наиболее популярные программы, размещенные на FossHub.com и Oldfoss.com. Так, аудиоредактор Audаcity суммарно насчитывал 25 млн загрузок, а опенсорсная утилита для настойки Windows, Classic Shell, насчитывала почти 15 млн загрузок. Для обоих проектов FossHub был официальным «домом».

Хакеры подменили инсталляторы обеих программ самописной малварью, похожей на вирусы, которые были в ходу в 90-е годы. Вредонос перезаписывал Master Boot Record (MBR) жертвы, так что при следующем запуске компьютера система не загружалась. Вместо этого пострадавший пользователь видел сообщение: «После перезагрузки вы обнаруживаете, что что-то перезаписало ваш MBR! Жаль, что ваше приключения обрывалось здесь! Всю ненависть можно направить Pegglecrew (@cultofrazer в Twitter)».

hacker_message_fosshub_3434_youtube_black

Подмену довольно быстро обнаружили. Согласно официальному сообщению разработчиков Audacity, вредоносная версия программы провисела на сайте около трех часов. Также представители Audacity писали, что хакеры, очевидно, сумели заполучить на руки пароль одного из разработчиков и воспользовались им для загрузки малвари. Администрация FossHub подтверждает, что вредоносные инсталляторы успели скачать несколько сотен человек (порядка 300).

«Мы заметили, что атакующие получили доступ к FTP-аккаунту, и решили немедленно отключить главный сервер, чтобы остановить дальнейшее распространение инфекции и угрозу, — в свою очередь, рассказали разработчики Classic Shell. — Атакующие попытались получить доступ к DNSMadeEasy (наш DNS провайдер), к CloudFlare, личным письмам, CDN сервисами и так далее. Но login-логи показывают, что все их попытки были неудачны».

«Я хотел бы сказать, что мы извиняемся, но было бы ложью не признать, что этот день стал худшим днем лично моей жизни и худшим днем для всей команды FossHub. После этого инцидента у нас изменилось все. Я очень разочарован, что после всех наших усилий по построению образа самого чистого сайта в сети, мы пришли к этому», — пишет представитель FossHub, Сэм, в официальном обращении к пользователям.

В результате атаки Audacity была заменена на хостинге на версию 2.1.2, а аккаунт разработчиков был отключен. Classic Shell опубликовали инструкцию для пользователей, подробно описывающую, как проверить свой компьютер на предмет заражения (если он еще не был перезагружен) и как бороться с малварью, если таковая найдется.

Хакеры Peggle Crew не стали отмалчиваться. Они рассказали журналистам The Register, что атаку они осуществили просто ради развлечения, желая привлечь к себе внимание. На написание малвари, по их словам, они потратили всего «день или около того».

«Точка проникновения была настолько очевидной, что это был вопрос времени, пока ее не обнаружат авторы какого-нибудь шифровальщика (как это было с Transmission), а мы этого не хотели», — говорят хакеры.

По заявлениям злоумышленников, они скомпрометировали сам FossHub, а не разработчиков приложений. Хакеры говорят, что еще в июле 2016 года они обнаружили некий сетевой сервис, который был открыт для доступа из интернета, без всякой аутентификации. Через эту брешь злоумышленники сумели собрать все пароли и данные, необходимые им для более глубокого внедрения в FossHub. В итоге хакеры добрались до продакшен-машин, бэкапов и зеркал сайта, сумели перехватить учетные данные для FTP кеш-сервиса и так далее. У себя в твиттере хакеры пишут, что они полностью скомпрометировали сайт, включая email-адреса администраторов.

Рассказ взломщиков объясняет, почему после первичной ликвидации угрозы, когда установщики Audacity и Classic Shell уже были заменены на нормальные, FossHub все равно ушел в оффлайн на несколько часов.

«После первой волны, когда администраторы уже пофиксили исполняемые файлы и заблокировали аккаунты разработчиков, попавших под подозрение, мы заменили все исполняемые файлы на зеркалах оригинальной версией нашего MBR, использовав похищенные данные от FTP», — рассказали хакеры.

Версию хакеров подтверждает и вернувшийся в онлайн FossHub. Пока ресурс был в оффлайне, администрация сайта устранила брешь и описала на Reddit подробности инцидента.

«Мы уже довольно давно в деле, так что вы слышите о нас не в последний раз, — заявляют Peggle Crew. — Если только очень злой парень в твиттере, который пообещал найти нас и убить, не преуспеет».

Оставить мнение