Jedan Adobe ColdFusion zero-day, VPS host, mrežni sigurnosni skener, 5,5 milijuna imena domena, i jedan IRC poslužitelj — to je trošak hakerske grupe koja se osveti hrpi skripti klinci.
Usred hakerske grupe Hack the Planet's (HTP) zahtjevi da je 5,5 milijuna naziva domena bilo kompromitirano i da je nekoliko registrara domena hakirano, Name.com i Melbourne IT potvrdili su da su probijeni.
Prošli mjesec, virtualna privatna tvrtka za poslužitelje Linode je izdao poništavanje lozinke nakon napada na jednog od njegovih kupaca, ali čini se da je problem sada veći od jednog pokušaja hakiranja.
HTP je tvrdio da je napad na Linode samo dio lanca hakiranja nekoliko organizacija. Njegov motiv bio je osvetiti se drugoj skupini hakera koji su ga napali i oponašali hakera pod imenom ac1db1tch3z — istog hakera koji je bio odgovoran za razotkrivanje ranjivost u 64-bitnim Linux strojevima.
HTP tvrdi da je uspio pratiti svoje napadače sve do SwiftIRC-a i tvrdi da koristi Linode za svoje poslužitelje imena, što ga čini njegovom sljedećom metom. Plan grupe bio je ići još više u lancu, kompromitirajući Linodeov registar domena, Name.com, i postavljanje napad čovjeka u sredini za hvatanje podataka za prijavu kada su korisnici pokušali koristiti svoje vjerodajnice na bilo kojem mjestu na koje je hakerska skupina ukazala Linode.com do.
Iako Name.com nije potvrdio je li HTP odgovoran, priznao je da je otkrio sigurnosni kršenje koje je bilo "motivirano pokušajem dobivanja informacija o jednom, velikom komercijalnom računu u Ime.com".
"Informacije o korisničkom računu, uključujući korisnička imena, adrese e-pošte i šifrirane lozinke i šifrirani kredit podacima o kartičnom računu, možda su pristupile neovlaštene osobe", rekao je Name.com svojim korisnicima putem elektronička pošta.
Čini se da zapisnici HTP-ovog napada podupiru tvrdnje da su mogli kompromitirati imena domena ne samo za Linode, već i za nekoliko drugih organizacija, uključujući Deviant Art i 9gag. Međutim, zapisi pokazuju samo raspršene lozinke, što znači da bi samo računi sa slabim lozinkama mogli biti probijeni.
Dnevnici napada koji prikazuju raspršene lozinke za brojne popularne domene, uključujući Deviant Art i 9gag.
HTP tvrdi da je zajedno s napadima na niz drugih registara mogao kompromitirati 5,5 milijuna naziva domena na Name.com, Xinnetu, Melbourne IT i Monikeru.
Odbačene informacije iz napada uključuju sadržaj web imenika i /etc/passwd datoteku na dva poslužitelja Melbourne IT-a.
Melbourne IT rekao je za ZDNet da je upoznat s incidentom, ne navodeći je li HTP odgovorna strana.
"Napadač je uspio dobiti ograničeni pristup poslužitelju niske razine, koji hostira sadržaj za jedan od Melbournea IT-ove web stranice koje nisu maloprodajne, ali ne sadrže podatke o klijentima niti osjetljive podatke o tvrtki", glasnogovornik tvrtke rekao je.
"Naše istrage su otkrile da nema dokaza o bilo kakvom gubitku podataka, niti dokaza o neovlaštenom pristupu bilo kojem drugom IT sustavu Melbournea.
"Naše istrage se nastavljaju i poduzeli smo proaktivne mjere opreza kako bismo povećali naš sigurnosni položaj dok ova istraga bude dovršena."
Melbourne je bio kompromitirao Anonymous Australia prošle godine, zbog druge greške ColdFusiona. To je na kraju utjecalo na jednog kupca: AAPT. Komisija za privatnost trenutno je poduzimanje istrage kako bismo utvrdili je li bilo koja tvrtka prekršila Zakon o privatnosti.
Moniker je za ZDNet rekao da nijedna od objavljenih informacija nije dohvaćena pomoću njegove platforme registra i da su same informacije bile relevantne samo za web mjesto koje je javno dostupno.
"Objavljena datoteka ne sadrži nikakav pristup ili informacije vezane uz ili o klijentima Monikera, njihovim računima ili njihovim domenama", rekao je glasnogovornik tvrtke u e-poruci.
ZDNet je kontaktirao Xinnet za komentar, ali nije dobio odgovor u vrijeme pisanja.
Odavde je grupa promijenila taktiku, odustajući od napada čovjeka u sredini i krenuvši izravno na Linode, koristeći prethodno nepoznatu ranjivost u Adobe ColdFusionu. To se poklapa s prethodnim tvrdnjama i Linodeov odgovor do kršenja. HTP je od tada objavio kod koristi za iskorištavanje ranjivosti, a Adobe je izdao hitni popravak za to.
HTP-ov pristup Linodeu također mu je omogućio pristup Nmap.org, stranici koja stoji iza mrežnog sigurnosnog skenera, a također je domaćin brojnim listama za slanje informacija o sigurnosti. Autor Nmapa Gordon Lyon, također poznat na internetu kao Fyodor, priznao je napad ranije prošlog mjeseca u post na mailing listi za Nmap razvoj.
Napisao je: "Netko je kompromitirao našeg pružatelja usluga hostinga (Linode) i iskoristio taj pristup da provali u neke od naših sustava virtualnih privatnih poslužitelja (VPS).
"Zanimljivo, naši dnevnici web referera pokazuju da nas je napadač prvi put posjetio prateći poveznicu na [a] popisu stranice Quora Linodeovi najistaknutiji kupci."
“Pretpostavljam da su hakirali Linode, a zatim krenuli u potragu za poznatim stranicama na koje bi krenuli. Možda bismo trebali biti polaskani što smo dospjeli na popis, ali nismo. Linode kaže da se uljez petljao po našem računu, ali je ostavio njihove druge kupce na miru."
HTP-ovo izdanje uključuje ispis od 16 GB onoga za što se tvrdi da je matični direktorij Nmap.org.
Linode je od tada uveo dvofaktorsku autentifikaciju za zaštitu računa. Koristi algoritam jednokratne lozinke temeljen na vremenu, što znači da se tokeni često mogu generirati u istoj autentifikaciji aplikacije koje se koriste za Dropbox, Amazon Web Services (AWS) i Google račune umjesto da korisnici moraju preuzimati zasebnu aplikacija
Ažurirano 13. svibnja 2013. u 9.58 AEST: Dodan komentar od Monikera.