Просмотров: 3420

Apache.org и перевернутый рояль


Историческая заметка давно написанная мною по материалам расследования взлома проекта Apache.org в 2010 году для какого-то компьютерного издания. Несколько запоздало, но выкладываю-таки её и в своём блоге. Такие грандиозные взломы подобных известных проектов, конечно, случаются редко. Ну разве что только нынешняя серия взломов Linux.org, историю которого ещё только предстоит написать…

В понедельник 5 апреля 2010 года, рано утром, в багтрекинге Apache появилось уведомление об ошибке «INFRA-259» с пометкой “важно”. Очень подробно, технически грамотным языком, была описана проблема открытия некоторых страниц на сервере royal,  входящего в домен apache.org. К сообщению были приложены примеры ссылок на множество проблемных страниц, а также была указана ссылка на одну из страниц из домена Apache.org, в которую был заранее добавлен JavaScript-код, осуществляющий перехват сессионных cookie с помощью XSS-атаки.

В силу серьёзности описанных проблем и ничего не подозревая, сразу несколько ведущих разработчиков из нескольких проектов Apache перешли по указанным ссылкам. Уже к обеду 5 апреля злоумышленники имели административный доступ к системе трекинга ошибок JIRA.

После получения администраторского доступа к JIRA злоумышленники сразу отключили её систему уведомлений об изменениях, и изменили пути загрузки дополнений (вложений) в загружаемых уведомлениях об ошибках. Новый путь теперь указывал на другую директорию сервера, права в которой позволяли запускать jsp-файлы. После этого в систему багтрекинга сразу же было загружено сообщение об ошибке, в которое под видом приложения к тикету была приложена вредоносная программа. После её запуска хакеры получили копии домашних каталогов всех администраторов и пользователей локальной системы, а также хэши всех паролей в текущей системе. После установки скрытых бэкдоров злоумышленники отключились. На всю операцию ушло около 20 минут.

Через несколько дней, в пятницу 9 апреля, злоумышленники снова подключились к системе для загрузки своего JAR-файла, который будучи интегрирован в страницу аутентификации в системе начал сбор всех вводимых паролей при web-входе в систему. Кроме того, все пароли пользователей в базе данных были сброшены, а от имени администраторов системы ко всем разработчикам был отправлен запрос на смену паролей, объясняя это техническими проблемами с базой данных. Опять же, большинство разработчиков ничего не подозревая вошли в систему и ввели свои прежние настоящие пароли. Как оказалось, у многих разработчиков был один и тот же пароль сразу ко многим сервисам Apache, что позволило злоумышленникам, развивая атаку,  залогиниться уже и на другие сервисы проекта.

Как оказалось в процессе анализа “результатов рыбалки”, один из пользователей JIRA был администратором на других сервисах Apache, поэтому уже к вечеру пятницы злоумышленники получили полные права на запуск команды sudo, дающей права на запуск любых команд с правами root - сразу на нескольких серверах проекта. Таким образом, над сервисами JIRA, Confluence, wiki и Bugzilla (серверы brutus.apache.org и royal.apache.org) к вечеру пятницы был получен полный контроль. Дальнейший анализ пользователей зарегистрированных уже в новых системах, позволил найти тех, у которых были прокешированы в домашней директории параметры аутентификации в главном репозитории Subversion (что потенциально давало контроль над всеми исходниками проектов Apache), а также доступ к машинам Neptune, Aurora и другим…

На данный момент, имея разные уровни доступа уже почти на все проекты Apache, злоумышленники останавливают свою стратегию веерного развития атаки и фокусируются лишь на одном сервере проекта из многих, — сервере под сетевым именем Minotaur. Тут нужно пояснить, что сервер people.apache.org, известный также как Minotaur, – это сердце Apache.org. Это – главный административный сервер проекта Apache, где находятся shell-аккаунты всех основных разработчиков проекта, в том числе и корневых администраторов.

Итак, утром 10 апреля, после 19 часов непрерывного марафона (эти люди спят когда-нибудь?) по взлому вспомогательных сервисов и последовательному углублению в инфраструктуру проекта, злоумышленники одновременно, сразу под двумя именами администраторов, вошли в систему minotaur.apache.org с другого доверенного хоста проекта, и приступили к анализу этой центральной системы на предмет возможных путей дальнейшего развития атаки.

К счастью, на этой фазе внедрения, необычная активность в корневой системе minotaur.apache.org привлекла внимание сначала одного, а потом и второго администратора, которые, увидев уровень “погружения” в систему злоумышленников, вынуждены были начать банально отключать сервера проекта Apache от сети, ибо угроза захвата управлением центрального сервера на этом этапе вторжения была чрезвычайно высока, а начинать разбираться во всем происходящем уже было слишком поздно.

После отключения серверов администраторами проекта были оперативно подправлены соответствующие записи DNS для домена apache.org, после чего обслуживание запросов временно было перенаправлено на автономный резервный сервер проекта в Европе (из-за эффекта кеширования старых данных в DNS, в течении 11 апреля многие столкнулись с тем, что сайт apache.org и его многочисленные поддомены были недоступны).

На данный момент, анализ хронологии взлома почти полностью завершен, проектом опубликован официальный отчет, подробно рассказывающий о развитии этих апрельских событий и предпринятых мерах, соответствующие скомпрометированные серверы, за исключением нескольких, уже восстановлены и введены в строй. Но всё же, несмотря на видимость закрытого дела, у независимых аналитиков остаётся очень много вопросов по факту этого грандиозного взлома… Откуда на JIRA взялась уязвимая страница, ведь именно этот проект подвергался относительно недавно серьёзному аудиту на безопасность, откуда взялись эти злополучные ошибки на некоторых страницах, о которых был сделан реальный багрепорт самими же злоумышленниками (в отчете-расследовании про них ничего не упомянуто), с которого всё и началось?

Некоторые независимые специалисты, в качестве объяснения всем этим странностям, склоняются к мнению, что этому взлому предшествовал ещё один, более ранний. По их мнению, не получив тогда достаточных привилегий для развития атаки, злоумышленниками и был разыгран этот “марлезонский балет” с багрепортом, чтобы “заставить администраторов сделать то, что от них хотели, чтобы они сделали”: заманив их на специально подготовленную страничку с XSS в домене apache.org, симулировав при этом на своём уровне доступных полномочий серьёзные ошибки в работе сервера royal, чтобы создать повод для вышеупомянутого багрепорта и привлечения внимания администраторов к злополучным страницам.

Подводя сухой итог всего произошедшего, можно уже констатировать, что, несмотря на все усилия по расследованию и заявление в ФБР – из злоумышленников никто не пойман, и, как мне кажется, вряд ли будет пойман в будущем (уж специалисты подобного уровня о своей безопасности позаботиться знают как и могут). Уже известно, что действовала группа, которая состоит из специалистов разного профиля и специализации, которые синхронно провели очень сильно скоординированную атаку, которая лишь совсем чуть-чуть не дотянула до своей главной цели.

На фоне недавних очень филигранных и “глубоких” атак инфраструктуры Google, в которых, поверьте мне на слово, несмотря на все публичные открещивания, Google понесла очень серьёзные потери во всех смыслах (на самом деле именно из-за серьёзности произошедшего, мы и видим сейчас столь агрессивные реваншистские заявления и конкретные действия Google против Китая – предполагаемого источника этих атак), столь “успешная” атака на Apache смотрится уже и не так впечатляюще.

Мир стремительно меняется: даже на компании, в штате которых работают суперспециалисты,  лучшие в своих сферах, начинается оказываться давление, которому они уже не всегда в состоянии противостоять. Стремительная коммерциализация и монетизация хакинга и сетевой преступности в целом, которую мы наблюдаем прямо сейчас, приводит к тому, что для многих “специалистов” это становится уже самой настоящей работой, причем не только престижной и суперувлекательной, но и высокооплачиваемой тоже. К сожалению, этот недавний инцидент с проектом Apache, вновь обращает внимание на эту серьёзную нерешенную проблему и заставляет очередной раз задуматься, что при повышении роли и значимости компьютерной инфраструктуры в нашей повседневной жизни, требуется также соответственно повышать и уровень её безопасности и стабильности, чему часто пока уделяется явно недостаточно внимания и сил, как в государственных организациях, так и в частных корпорациях по всему миру.


Сама история имела место быть весной 2010 года. Выкладываю ссылки (частично, так как не все сохранились в рабочем виде с тех пор, а новые искать в лом) на исходные материалы этого расследования (кому интересно читать первоисточники):

Кому нравятся статьи на такие темы рекомендую обязательно глянуть "Сети, браузер, два ствола...".

 

twitter.com facebook.com vkontakte.ru odnoklassniki.ru mail.ru ya.ru pikabu.ru blogger.com liveinternet.ru livejournal.ru google.com bobrdobr.ru yandex.ru del.icio.us

Подписка на обновления блога → через RSS, на e-mail, через Twitter
Теги: , , ,
Эта запись опубликована: Вторник, 20 сентября 2011 в рубрике Истории.

Оставьте комментарий!

Не регистрировать/аноним

Используйте нормальные имена. Ваш комментарий будет опубликован после проверки.

Зарегистрировать/комментатор

Для регистрации укажите свой действующий email и пароль. Связка email-пароль позволяет вам комментировать и редактировать данные в вашем персональном аккаунте, такие как адрес сайта, ник и т.п. (Письмо с активацией придет в ящик, указанный при регистрации)

(обязательно)


⇑ Наверх
⇓ Вниз