微軟中槍,GitHub 數百程式碼被駭客移除用於勒索

作者 | 發布日期 2019 年 05 月 06 日 16:26 | 分類 Microsoft , 資訊安全 , 開放資料 follow us in feedly


最新消息稱,GitHub 遭駭客攻擊,數百程式碼被竊取,駭客並以此勒索比特幣。

然而,這很可能只是齣鬧劇,為什麼這麼說?

大老被搶,給錢放「人」

據 CNBeta 報導,此次 GitHub 被駭客洗劫勒索事件,微軟似乎未能幸免。

微軟已確認其開源平台 5 日也被駭客攻擊,並同樣被要求支付款項才能歸還竊取的 392 個開源程式碼碼,這些程式碼和提交的資訊均被名為「gitbackup」的帳號刪除。

從留言內容看,駭客已將受害者的 GitHub 所有程式碼碼和最近提交的 Repo 移除,只留下 0.1 比特幣(約 ¥3850)的贖金票據。

票據寫道:「想恢復丟失的程式碼,請將 0.1BTC 傳送到比特幣位址1ES14c7qLb5CYhLMUekctxLgc1FV2Ti9DA,並將 Git 登入資訊和付款證明傳送郵件至 admin@gitsbackup.com。如不確定是否持有你的資料,可傳送資訊獲得驗證。10 天內沒有收到付款,將公開程式碼或以其他方式使用。」

得知消息後,GitHub 回答:「我們正在與受影響的用戶聯繫,以保護和恢復他們的帳戶。」BitcoinAbuse 平台顯示,此比特幣位址目前還未收到贖金。

GitHub 建議用戶開啟雙重身分驗證,為帳戶添加安全保護。

此次攻擊開始於 5 月 3 日,除 GitHub 外,Bitbucket 和 GitLab 等多個程式碼托管平台也都受到影響。

看似正經,實則鬧劇?

從留言看,駭客移除了儲存程式庫的全部資料,不過,真是如此嗎?

1. 程式碼還在

GitLab 安全總監 Kathy Wang 回應網路攻擊:「我們已確定受影響的用戶帳戶,並通知所有用戶。根據調查結果,我們有充分證據表明受損帳戶的帳戶密碼以明文形式儲存在相關儲存程式庫的部署。」

也就是說,Kathy Wang 認為駭客在票據留下的已移除儲存程式庫全部資料的說法並非屬實。不是全刪了嗎,這話又怎麼說?實際上,這是 StackExchange 安全論壇的成員針對此次攻擊進行深入研究後得到的結論。

研究發現「通常來說,git reflog 標示會顯示提交的全部資料,也就是說攻擊者很難複製每個儲存程式庫,讓他們在來源碼搜尋敏感資料或公開程式碼的機會也很低。所以,這次攻擊更像隨機、大規模攻擊,攻擊本身由程式檔生成。」

他們發現,駭客似乎並沒有向勒索票據說的完全移除這些資料,而只是改變 Git 提交標頭,也就是說這些資料很可能在特定情況下可恢復。

2. 攻擊分析

為找到這些攻擊者,StackExchange 研究人員做了一次釣魚實驗

首先,他們啟用一些私人儲存程式庫,其中一部分修改成容易破解的弱密碼,移除了一年多尚未使用的存取記號,另一部分則不變。然後,研究人員向 GitLab 傳送郵件,希望他們及時通知攻擊者在執行攻擊時候的進/出進入點,以及期間操作的內容。

研究人員稱,儘管弱密碼以「a」開頭且只有「az」字元,攻擊者卻並沒有懷疑是否為了「釣魚」而專門設定的陷阱。實際上,研究發現,攻擊者透過自動檢查方式查詢到帳戶,並執行一系列 git 指令。

「如果這是他們的入侵方式,那麼就意味著我們連結的 GitLab / GitHub 郵件和密碼也洩露至帳戶清單。而在這種情況發生的前一個小時內,Google 搜尋並沒有表現出任何不規則反應。」

另一處不規則是:研究人員肯定在這之前沒有用過存取記號的地方和位置,但結果是電腦自動生成一切,因此懷疑正是問題所在。此外,還有 4 名開發人員也可使用實驗的儲存程式庫,這意味著他們的帳戶也可能受到攻擊。

再深入研究,整個過程似乎並沒有顯示出明顯的入侵攻擊行為。「我用 BitDefender 掃描我的電腦但找不到任何痕跡。我肯定自己的電腦沒被惡意軟體/木馬感染,所以造成這一切的不會是上述情況。」

研究人員提到:「實驗過程使用的是最新版 SourceTree,這讓我懷疑是不是我的 SourceTree 或系統(Windows 10)有漏洞。當然,目前一切都只是分析。」

目前,StackExchange 正和 GitLab 獲取更多資訊(如果有)以幫忙研究恢復方案。

(本文由 雷鋒網 授權轉載;首圖來源:pixabay