Linux Australia, ассоциация, занимающаяся организацией Linux-конференций в Австралии, признала факт взлома, в результате которого злоумышленники смогли получить доступ к одному из серверов, а вместе с ним, возможно, и к информации пользователей.
Президент ассоциации Джошуа Хескет (Joshua Hesketh) в электронных письмах, адресованных пользователям, крайне подробно объяснил, как атакующие смогли при помощи неизвестной уязвимости удаленно вызвать переполнение буфера и получить root-доступ на сервере.
Linux Australia обнародовала информацию о взломе спустя почти две недели после его обнаружения, при этом руководствуясь инструкциями австралийского комиссара по информации. Взломанная база данных содержала информацию о посетителях конференций, включая их имена и фамилии, адреса проживания и электронной почты, а также номер телефона, если таковой был указан. Атакующие также могли получить доступ к хэшированным версиям паролей пользователей.
Представители Linux Australia настаивают на том, что, поскольку участники конференций оплачивали их через сторонний гейтвей, информация о банковских картах не была похищена в результате взлома. По словам Хескета, атакующий с помощью инструмента удаленного доступа вызвал перезагрузку системы, чтобы загрузить в память вредоносное ПО. Затем он поднял C&C-сервер ботнета и воспользовался им для анализа данных.
Скомпрометированный сервер был частью системы управления конференциями Zookeepr и хранил информацию о конференциях, проведенных ассоциацией в 2013, 2014 и 2015 годах (linux.conf.au), а также данные о PyCon Australia, отдельной конференции, посвященной языку программирования Python, за 2013 и 2014 годы. Linux Australia разработала эту систему для внутреннего пользования, поэтому, когда 22 марта сервер начал присылать большое число сообщений об ошибках, на это не обратили особого внимания.
«Электронные письма об ошибках генерировались системой автоматического внедрения кода в различные рабочие копии Zookeepr, и подобные сообщения часто генерируются в больших количествах в случае возникновения самых разных проблем», — пишет Хескет. Тем не менее спустя два дня, после более детального изучения проблемы, группа администраторов пришла к выводу, что сервер стал жертвой хакерской атаки. В ответ на это разработчики приостановили действие всех неадминских учетных записей, взаимодействовавших с сервером.
По словам Хескета, группа администраторов смогла изолировать бот RAT и удалить все скрипты-инициаторы, связанные с атакой. Скрипты-инициаторы, используемые для настройки демонов Linux, запускают другие процессы в рамках процедуры загрузки. Представители Linux Australia заявляют, что в будущем планируют ввести более жесткие меры безопасности для того, чтобы защита данных обеспечивалась на высшем уровне, к примеру ограничить срок действия учетных записей участников тремя месяцами, ввести принудительное использование логинов на основе ключей и внедрить систему анализа логов для отслеживания подозрительной активности.
Помимо обсуждения проблем Linux данное сообщество, в которое входят более 5 тыс. австралийцев, также принимает участие в ряде подкомиссий и специализированных групп, лоббирующих расширение использования открытого ПО в австралийском правительстве. Хотя lcauckland.org.nz сейчас неактивен, очередная региональная конференция linux.conf.au (Australasia’s Linux and Open Source Conference) была с успехом проведена в январе в Окленде.
