Các quản trị viên của bản phân phối Gentoo Linux vừa mới phát hiện ra ảnh hưởng và nguồn gốc gây nên vụ tấn công mà đã chứng kiến các tin tặc chiếm quyền điều khiển tài khoản Github của họ vào tuần trước và thay đổi nội dung các thư mục và trang của họ.
Các tin tặc này không chỉ có ý định thay đổi nội dung trong các thư mục bị xâm phạm mà còn ngăn chặn các nhà phát triển Gentoo khỏi hệ thống Github của họ.
Hậu quả của sự cố này là các nhà phát triển không thể sử dụng Github trong khoảng thời gian tổng cộng là năm ngày.
Chuyện gì đã xảy ra?
Các nhà phát triển Gentoo đã tìm ra rằng tin tặc đã chiếm quyền quản trị của các tài khoản Github bằng cách đoán mật khẩu.
Hệ thống đã có thể được bảo vệ nếu như nó sử dụng xác thực hai bước, phương pháp bảo mật mà đòi hỏi phải có một mã xác thực bổ sung ngoài mật khẩu chính để có được quyền truy cập vào tài khoản.
Gentoo đã viết trong báo cáo sự cố của mình rằng: “Tin tặc đã chiếm quyền truy cập vào một mật khẩu của một quản trị viên hệ thống. Các bằng chứng thu thập được cho thấy một hệ thống mật khẩu tại nơi bị lộ trên một trang web làm cho việc dự đoán mật khẩu dễ dàng hơn đối với các trang web không liên quan”.
Ngoài ra, các nhà phát triển Gentoo cũng không có một bản sao dự phòng cho các chi tiết của hệ thống Github. Còn điều gì nữa? Thư mục hệ thống đã không được sao chép từ Gentoo nhưng lại được lưu trữ trục tiếp trên Github.
Điều trở nên tốt lên là gì?
Mặc dù vậy, Gentoo tin rằng dự án đã gặp may vì vụ tấn này khá là “phô trương”, nhờ việc tin tặc gỡ bỏ các nhà phát triển khác khỏi tài khoản Github mục tiêu khiến cho họ được email thông báo về sự việc ấy.
Phản ứng nhanh chóng giữa Gentoo và Github đã kết thúc vụ tấn công trong vòng khoảng 70 phút.
Hơn nữa, báo cáo cũng nói thêm rằng nhờ vào các lệnh di chuyển có ưu tiên cao nhằm cố gắng loại bỏ tất cả các tập tin, kẻ tấn công đã làm cho “tiêu hao ở hướng ra trở nên dễ thấy hơn”, cuối cùng đã có thể “chặn github khỏi việc bị âm thầm kéo nội dung mới vào các kiểm tra hiện có trên ‘git pull’. ”
Như dự án trước đây đã nói, các kho lưu trữ chính của Gentoo được giữ trên cơ sở hạ tầng máy chủ Gentoo, và Gentoo được ánh xạ đến GitHub để “là nơi có các đối tác đóng góp”.
Do đó, các khóa riêng tư của tài khoản cũng như cơ sở hạ tầng lưu trữ Gentoo không bị ảnh hưởng bởi sự cố.
Tác động của cuộc tấn công trên mạng
Do sự cố này, dự án Gentoo Proxy Maintainers bị ảnh hưởng khi nhiều người đóng góp bảo trì proxy sử dụng GitHub để gửi yêu cầu lôi kéo, và tất cả yêu cầu lôi kéo trong quá khứ cũng bị ngắt kết nối khỏi cam kết ban đầu của họ và bị đóng.
Những kẻ tấn công cũng đã cố gắng thêm các lệnh “rm -rf” vào các kho lưu trữ khác nhau, nếu các lệnh này được thực thi sẽ xóa dữ liệu người dùng một cách đệ quy. Tuy nhiên, mã này không thể được thực hiện bởi người dùng cuối do các kỹ thuật bảo vệ khác nhau tại chỗ.
“rm” là một lệnh Unix được sử dụng để xóa các tệp và thư mục, còn “rm–rf” thực hiện một loại bỏ cưỡng bức hơn, điều này “sẽ làm cho mọi tệp có thể truy cập được từ hệ thống tệp hiện tại bị xóa khỏi máy. ”
Các bước cần làm để ngăn chặn các cuộc tấn công mạng trong tương lai
Sau vụ việc, Gentoo đã thực hiện nhiều hành động để ngăn chặn những cuộc tấn công như vậy trong tương lai. Những hành động này bao gồm:
– Thường xuyên sao lưu hệ thống GitHub của mình.
– Cho phép xác thực hai yếu tố theo mặc định trong hệ thống GitHub của Gentoo, điều này sau này sẽ được áp dung với tất cả người dùng kho lưu trữ của dự án.
– Làm việc trên một kế hoạch phản hồi sự cố, đặc biệt là đối với việc chia sẻ thông tin về sự cố bảo mật với người dùng.
– Thắt chặt các thủ tục xung quanh việc thu hồi chứng chỉ.
– Giảm số lượng người dùng có đặc quyền nâng cao, đăng nhập kiểm tra và chính sách mật khẩu xuất bản được yêu cầu bắt buộc đối với người quản lý mật khẩu.
– Giới thiệu hỗ trợ 2FA (xác thực 2 yếu tố) dựa trên phần cứng cho các nhà phát triển Gentoo.
Hiện tại, người ta không biết ai đứng đằng sau Gentoo Hack. Gentoo cũng không nói liệu vụ việc đã được báo cáo với nhà chức trách để truy lùng (các) hacker hay không.
Nguồn: Password-Guessing Was Used to Hack Gentoo Linux Github Account
Dịch bởi: Trần Việt Đức Nguyên
Visits: 571
