۱۰ مرداد ۱۳۹۷

هک اکانت گیت هاب جنتو لینوکس

مسئولین توزیع جنتو لینوکس، پیامد اصلی این حمله را، به دست گرفتن کنترل حساب کاربری این توزیع در گیت‌هاب و تغییر محتوای منابع و صفحات آن در این سایت می‌دانند، که در تاریخ ۸ تیرماه سال جاری و توسط مهاجمان ناشناسی انجام گرفت. علاوه بر این مهاجمان دسترسی توسعه‌دهندگان جنتو را از سازمان گیت‌هاب این توزیع قطع کردند. توسعه دهندگان به مدت پنج روز قادر به استفاده از گیت‌هاب نبودند.

تلاش برای یافتن مشکل اصلی

توسعه دهندگان جنتو اعلام کردند که مهاجمان پس از حدس‌زدن کلمه‌عبور حساب‌کاربری این شرکت، در گیت‌هاب قادر به گرفتن دسترسی ادمین به حساب این شرکت شدند.

حتی اگر شرکت از احراز هویت دو مرحله ای (۲FA) استفاده می‌نمود، می‌توانست از این حمله مصون بماند. به این صورت که برای دسترسی به حساب‌کاربری علاوه بر کلمه‌عبور اصلی نیاز به واردکردن یک کلمه‌عبور دیگر داشت.

براساس آنچه که جنتو در گزارش حادثه نوشته است، مهاجمان به رمز عبور یکی از مدیران سازمان دسترسی پیدا کرده‌اند. شواهد بدست‌آمده نشان می‌دهد که افشای الگوی رمز در یک سایت، حدس کلمات‌عبور برای صفحات نامرتبط دیگر را آسان‌تر نموده است.

عوامل کاهش پیامد

با این حال، جنتو معتقد بود یکی از خوش شانسی های این پروژه رخداد حمله با صدای “بلند” بوده، زیرا همه توسعه دهندگان دیگر، خارج از حساب کاربری گیت‌هاب مورد هدف قرار گرفتند و بموجب این حمله، ایمیلی به آنها ارسال شد.”

کدهایی که در زیرساخت‌های جنتو میزبانی می‌شدند، تحت‌خطر قرار نگرفتند؛ زیرا کدهای قرار گرفته در گیت‌هاب در واقع، کپی‌های از نسخه‌های اصلی بوده‌اند که در زیرساخت‌های شرکت جنتو قرار دارند.

بنابراین کلید خصوصی حساب کاربری و زیرساخت‌های شرکت جنتو تحت تأثیر قرار نگرفته‌اند.

تاثیرات حمله سایبری

در نتیجه این رخداد، پروژه نگهداری پروکسی جنتو مانند بسیاری از شرکت کنندگان متصدیان نگهدارنده پروکسی، که برای ارسال درخواست های خود از گیت‌هاب برای ارسال تغییرات، استفاده می‌کنند تحت تأثیر قرارگرفته است، و تمامی درخواست‌های قبلی نیز  از تعهدات خود قطع و پایان یافته اند.

مهاجمان همچنین تلاش کردند دستورات rm -rf را به مخازن مختلف اضافه کنند، که در صورت اجرا، داده‌های کاربر را به صورت بازگشتی حذف خواهند کرد. با این حال، اجرای این کد توسط کاربران نهایی به دلیل مراقبت‌های فنی مختلف بعید به نظر می‌رسید.

rm یک دستور یونیکس است که برای ازبین‌بردن فایل‌ها، دایرکتوری‌ها و موارد مشابه استفاده می شود و rm -rf نشان دهنده حذف اجباری است که “هر پرونده قابل دسترسی از سیستم‌فایل فعلی را از دستگاه حذف می کند.”

اقدامات پیشگیرانه برای جلوگیری از حملات سایبری آینده

تحت تاثیر این حمله جنتو اقدامات متعددی را برای حملات پیش بینی نشده بعدی در نظر گرفته است.
برخی از آنها در زیر آورده شده است:

  • پشتیبان گیری مکرر سازمان از گیت‌هاب خود.
  • فعال کردن احراز هویت دو مرحله‌ای به طور پیش فرض در گیت‌هاب سازمان جنتو، که در نهایت به مخازن پروژه به همه کاربران می رسد.
  • کاربر روی یک طرح پاسخ به حادثه، به ویژه برای به اشتراک گذاشتن اطلاعات در مورد حادثه امنیتی با کاربران.
  • تسریع رویه های لغو اعتبار
  • کاهش تعداد کاربران با دسترسی بالا، حسابرسی ورود به سیستم و انتشار سیاست‌های رمزعبور که منجر به مدیریت رمز عبور می شود.
  • معرفی پشتیبانی ۲FA مبتنی بر سخت افزار برای توسعه دهندگان جنتو

در حال حاضر عامل پشت پرده این حمله کشف نشده است.

 

مراجع

[۱]. “Password-Guessing Was Used to Hack Gentoo Linux Github Account”, https://thehackernews.com/2018/07/github-hacking-gentoo-linux.html
[۲].https://wiki.gentoo.org/wiki/Project:Infrastructure/Incident_Reports/2018-06-28_Github