Многочисленные серверы, используемые для управления и распространения ядра ОС Linux, были инфицированы злонамеренным программным обеспечением, предоставляющим административный доступ к машинам и позволяющим модифицировать программное обеспечение и журналировать пароли и транзакции обращений на серверы, сообщили накануне в Linux Kernel Organization.
Сообщается, что взлом Kernel.org произошел не позже 12 августа, но оставался незамеченным чуть менее трех недель. Джон Хоули, главный администратор репозитория Kernel.org говорит, что троянское программное обеспечение было обнаружено на личном компьютере разработчика Linux-ядра Питера Энвина и позже оно же было найдено на серверах Hera и Odin 1, работающих в рамках проекта Kernel.org. Также известно, что клиент SSH на серверах был модифицирован, что позволило злоумышленникам удаленно входить на сервер и получать системные файлы журналов.
"Взломщики получили администраторский доступ к серверу Hera. Мы полагаем, что изначально доступ к ИТ-инфраструктуре был получен за счет компрометации одного из легитимных аккаунтов, хотя точный алгоритм взлома пока не выяснен", - говорит Хоули.
Администраторы Kernel.org уверены, что сами репозитории с исходниками Linux-ядра не были модифицированы, хотя процесс верификации файлов все равно проводится. "Потенциальный вред от взлома репозитория Kernel.org меньше, чем от взлома обычного репозитория из-за развернутой системы безопасности. Каждый из 40 000 файлов, входящих в ядро Linux, защищен при помощи криптоалгоритма SHA-1 и по каждому файлу вычислен хеш, что делает незамеченную модификацию файлов невозможной", - говорит Хоули. "Хеш-значения также невозможно изменить, так как данные о них хранятся на тысячах серверов по всему миру".
По неофициальным данным, серверы Kernel.org былы взломаны при помощи руткита Phalanx, ранее уже атаковавшего ряд Linux-серверов. "Проведенная атака является сложной, непохоже, что злоумышленники обошлись простым использованием одного руткита. Как правило, в подобных случаях осуществляются многоходовые операции", - говорит Джон Оберхайд, один из разработчиков Linux.
Напомним, что вчера разработчики самого популярного в мире сервера Apache сообщили об устранении опасной уязвимости в их разработке, эксплуатация которой приводила к DOS-атаке. В результате эксплуатации данного бага происходил отказ в обслуживании сервера, так как эксплоит посылает серверу множество запросов, переполняющих буфер обмена Apache.
Источник: CyberSecurity
|