Минулого тижня безкоштовний хостинг для програм Fosshub був скомпрометований хакерами з команди Peggle Crew. Зломщики підмінили установники популярних додатків Audacity і Classic Shell малваре, затирають MBR. Хакери розповіли, як і навіщо вони це зробили.

В якості мети для атаки зломщики вибрали найбільш популярні програми, розміщені на FossHub.com і Oldfoss.com. Так, аудіоредактор Audаcity сумарно налічував 25 млн завантажень, а опенсорсний утиліта для настойки Windows, Classic Shell, налічувала майже 15 млн завантажень. Для обох проектів FossHub був офіційним «будинком».

Хакери підмінили інсталятори обох програм самопісний малваре , Схожою на віруси, які були в ходу в 90-і роки. Шкідливий перезаписував Master Boot Record (MBR) жертви, так що при наступному запуску комп'ютера система не завантажувалася. Замість цього потерпілий користувач бачив повідомлення: «Після перезавантаження ви виявляєте, що щось перезаписати ваш MBR! Шкода, що ваше пригоди обривалася тут! Всю ненависть можна направити Pegglecrew (@cultofrazer в Twitter) ».

Підміну досить швидко виявили. згідно з офіційним повідомленням розробників Audacity, шкідлива версія програми провисіла на сайті близько трьох годин. Також представники Audacity писали, що хакери, очевидно, зуміли роздобути на руки пароль одного з розробників і скористалися ним для завантаження малварі. Адміністрація FossHub підтверджує , Що шкідливі інсталятори встигли завантажити кілька сотень людей (близько 300).

«Ми помітили, що атакуючі отримали доступ до FTP-аккаунту, і вирішили негайно відключити головний сервер, щоб зупинити подальше поширення інфекції і загрозу, - в свою чергу, розповіли розробники Classic Shell. - Атакуючі спробували отримати доступ до DNSMadeEasy (наш DNS провайдер), до CloudFlare, особистим листам, CDN сервісами і так далі. Але login-логи показують, що всі їхні спроби були невдалі ».

«Я хотів би сказати, що ми вибачаємося, але було б неправдою не визнати, що цей день став найгіршим днем ​​особисто моєму житті і найгіршим днем ​​для всієї команди FossHub. Після цього інциденту у нас змінилося все. Я дуже розчарований, що після всіх наших зусиль з побудови образу самого чистого сайту в мережі, ми прийшли до цього », - пише представник FossHub, Сем, в офіційному зверненні до користувачів.

В результаті атаки Audacity була замінена на хостингу на версію 2.1.2, а аккаунт розробників був відключений. Classic Shell опублікували інструкцію для користувачів, докладно описує, як перевірити свій комп'ютер на предмет зараження (якщо він ще не був перезавантажений) і як боротися з малваре, якщо така знайдеться.

Хакери Peggle Crew не стали відмовчуватися. вони розповіли журналістам The Register , Що атаку вони здійснили просто заради розваги, бажаючи привернути до себе увагу. На написання малварі, за їхніми словами, вони витратили всього «день або близько того".

«Точка проникнення була настільки очевидною, що це було питання часу, поки її не виявлять автори якого-небудь шифрувальника (як це було з Transmission ), А ми цього не хотіли », - кажуть хакери.

За заявами зловмисників, вони скомпрометували сам FossHub, а не розробників додатків. Хакери кажуть, що ще в липні 2016 року ці фірми виявили якийсь мережевий сервіс, який був відкритий для доступу з інтернету, без будь-якої аутентифікації. Через цей пролом зловмисники зуміли зібрати всі паролі і дані, необхідні їм для більш глибокого впровадження в FossHub. В результаті хакери добралися до продакшен-машин, бекапов і дзеркал сайту, зуміли перехопити облікові дані для FTP кеш-сервісу і так далі. У себе в твіттері хакери пишуть, що вони повністю скомпрометували сайт, включаючи email-адреси адміністраторів.

Розповідь зломщиків пояснює, чому після первинної ліквідації загрози, коли установники Audacity і Classic Shell вже були замінені на нормальні, FossHub все одно пішов в оффлайн на кілька годин.

«Після першої хвилі, коли адміністратори вже пофіксити виконувані файли і заблокували акаунти розробників, які потрапили під підозру, ми замінили всі виконувані файли на дзеркалах оригінальною версією нашого MBR, використавши викрадені дані від FTP», - розповіли хакери.

Версію хакерів підтверджує і повернувся в онлайн FossHub. Поки ресурс був в офлайні, адміністрація сайту усунула пролом і описала на Reddit подробиці інциденту.

«Ми вже досить давно в справі, так що ви чуєте про нас не в останній раз, - заявляють Peggle Crew. - Якщо тільки дуже злий хлопець в твіттері, який пообіцяв знайти нас і вбити, що не досягне успіху ».