La infraestructura utilizada para mantener y distribuir el kernel del sistema operativo Linux estuvo infectada durante dos años, a partir de 2009, por un sofisticado malware que logró hacerse con uno de los recursos mejor custodiados por los desarrolladores: los archivos /etc/shadow que almacenaban cifrados. datos de contraseñas de más de 550 usuarios del sistema, dijeron investigadores el martes.
Los atacantes desconocidos detrás del ataque infectaron al menos cuatro servidores dentro de kernel.org, el dominio de Internet que sustenta la extensa red de desarrollo y distribución de Linux, dijeron los investigadores de la firma de seguridad ESET. Después de obtener los hashes criptográficos de 551 cuentas de usuario en la red, los atacantes pudieron convertir la mitad en contraseñas de texto sin formato, probablemente mediante técnicas de descifrado de contraseñas y el uso de una función avanzada de robo de credenciales integrada en el malware. A partir de ahí, los atacantes utilizaron los servidores para enviar spam y realizar otras actividades nefastas. Los cuatro servidores probablemente fueron infectados y desinfectados en diferentes momentos, y los dos últimos fueron remediados en algún momento de 2011.
Robando las llaves del reino de kernel.org
Una infección de kernel.org salió a la luz en 2011, cuando los mantenedores del kernel revelaron que 448 cuentas habían sido comprometidas después de que los atacantes de alguna manera lograron obtener acceso ilimitado o «root» al sistema a los servidores conectados al dominio. Los encargados del mantenimiento incumplieron su promesa de realizar una autopsia del ataque, una decisión que ha limitado la comprensión del público sobre el incidente.
Además de revelar la cantidad de cuentas de usuario comprometidas, los representantes de la Organización del Kernel de Linux no proporcionaron más detalles que decir que la infección:
- Ocurrió a más tardar el 12 de agosto de 2011 y no se detectó hasta pasados 17 días.
- Instalé un rootkit disponible en el mercado conocido como Phalanx en múltiples servidores y dispositivos personales pertenecientes a un desarrollador senior de Linux.
- Modificó los archivos que tanto los servidores como los dispositivos de los usuarios finales dentro de la red usaban para conectarse a través de OpenSSH, una implementación del protocolo SSH para proteger conexiones remotas.
En 2014, los investigadores de ESET dijeron que el ataque de 2011 probablemente infectó los servidores de kernel.org con un segundo malware al que llamaron Ebury. El malware, dijo la firma, venía en forma de una biblioteca de códigos maliciosos que, cuando se instalaba, creaba una puerta trasera en OpenSSH que proporcionaba a los atacantes un shell raíz remoto en los hosts infectados sin necesidad de contraseña válida. En poco menos de 22 meses, a partir de agosto de 2011, Ebury se extendió a 25.000 servidores. Además de los cuatro pertenecientes a la Organización del Kernel de Linux, la infección también afectó a uno o más servidores dentro de las instalaciones de alojamiento y a un registrador de dominios y un proveedor de alojamiento web anónimos.
Un informe de 47 páginas que resume los 15 años de historia de Ebury decía que la infección que afectó a la red kernel.org comenzó en 2009, dos años antes de lo que se pensaba anteriormente que el dominio había sido comprometido. El informe dice que desde 2009, el malware que habita en OpenSSH ha infectado más de 400.000 servidores, todos ejecutando Linux excepto unos 400 servidores FreeBSD, una docena de servidores OpenBSD y SunOS, y al menos un Mac.
El investigador Marc-Etienne M. Léveillé escribió:
En nuestro artículo de 2014, mencionamos que había evidencia de que kernel.org, que aloja el código fuente del kernel de Linux, había sido víctima de Ebury. Los datos que ahora tenemos a nuestra disposición revelan detalles adicionales sobre el incidente. Ebury se instaló en al menos cuatro servidores pertenecientes a la Fundación Linux entre 2009 y 2011. Parece que estos servidores actuaron como servidores de correo, servidores de nombres, espejos y repositorios de código fuente en el momento del compromiso. No podemos decir con certeza cuándo se eliminó Ebury de cada uno de los servidores, pero desde que se descubrió en 2011, es probable que dos de los servidores hayan estado comprometidos durante dos años, uno durante un año y el otro durante seis meses.
El perpetrador también tenía copias de los archivos /etc/shadow, que en total contenían 551 pares únicos de nombres de usuario y contraseñas hash. Las contraseñas en texto claro de 275 de esos usuarios (50%) están en posesión de los atacantes. Creemos que las contraseñas en texto claro se obtuvieron mediante el uso del ladrón de credenciales de Ebury instalado y mediante fuerza bruta.
El investigador dijo en un correo electrónico que las infecciones de Ebury y Phalanx parecen ser compromisos separados de dos grupos de amenazas no relacionados. Los representantes de la Organización del Kernel de Linux no respondieron a los correos electrónicos preguntando si estaban al tanto del informe de ESET o si sus afirmaciones eran precisas. No hay indicios de que ninguna de las infecciones haya provocado una manipulación del código fuente del kernel de Linux.