Найден программист, взломавший kernel.org в 2011 году

28 августа 2011 года сообщество Linux было слегка потрясено, узнав о взломе kernel.org — основного сервера для распространения исходного кода ядра Linux, главного места хостинга ^[1] репозиториев ядра и разных дистрибутивов Linux. На kernel.org обнаружился троян с рутовым доступом, который оставался незамеченным в течение 17 дней ^[2]. Его обнаружили благодаря сообщениям об ошибках в Xnest /dev/mem на машинах без установленной системы X Window.

Троян записывал пароли, вёл лог действий пользователей, предоставлял root-доступ и модифицировал ПО на сервере kernel.org.

Системный администратор kernel.org сообщил ^[3], что были модифицированы файлы, относящиеся к ssh (openssh, openssh-server и openssh-clients), а загрузчик трояна добавлен в стандартный скрипт загрузки сервисов rc3.d. Сайты kernel.org и git.kernel.org ушли в офлайн на 35 дней ^[4].

Серверы были очищены, программное обеспечение переустановлено. Только после этого открыли доступ к репозиториям.

Спустя некоторое время стало известно также о взломе веб-сайтов LinuxFoundation.org и Linux.com с утечкой учётных данных пользователей, в том числе паролей пользователей. Высказывались предположения, что это был первый этап атаки, на котором злоумышленник узнал пароль одного из разработчиков, имеющего рутовый доступ к kernel.org.

Система управления версиями Git гарантирует аутентичность исходного кода, который доступен для проверки миллионам пользователей. На тысячах серверов по всему миру хранятся копии кода ядра. Если бы кто-то попытался модифицировать его, то система контроля версий Git сразу бы сообщила об этом. Все 40 000 файлов ядра подписаны SHA-1 и подменить их невозможно.

Благодаря открытому коду и такой системе контроля ядро Linux надёжно защищено от внедрения посторонних троянов в старые файлы. Если у злоумышленника была такая цель, то ему не удалось выполнить поставленную задачу. По крайней мере, на данном этапе операции. Неизвестно, что конкретно он планировал делать дальше, после распространения своего трояна на компьютеры разработчиков. Кто знает, может, он хотел запушить коммит с трояном с компьютера Линуса Торвальдса?

Так или иначе, но почерк злоумышленника не был похож на методы работы спецслужб, у которых имеются более продвинутые инструменты, им не нужно красть пароли на форумах. Хотя и такую версию не исключали.

Kernel.org вернулся в онлайн к ноябрю 2011 года, за исключением нескольких второстепенных сервисов. Расследование инцидента при участии агентов ФБР продолжалось несколько лет, но им наконец-то удалось выйти на след злоумышленника.

1 сентября 2016 года Министерство юстиции США опубликовало пресс-релиз ^[5], в котором объявило о задержании программиста из Южной Флориды по подозрению в незаконном проникновении на компьютеры, принадлежащие организациям Linux Kernel Organization и Linux Foundation.

Подозреваемый — 27-летний Дональд Райан Остин — был задержан 28 августа 2016 года офицерами полиции посёлка Miami Shores, которые остановили на дороге его автомобиль. Ордер на арест был выписан 23 июня и рассекречен после ареста подозреваемого.

Судя по записи ^[6] в базе данных жителей Флориды, Дональд Райан Остин родился 20 апреля 1989 года, домашний адрес: 3425 Collins AVE #518 Miami Beach FL 33140, удостоверение избирателя 116597683.

Квартира Остина находится в 300 метрах от побережья. Фото многоквартирного дома сделано в июне 2015 года, когда он достраивался

На момент преступления парню было 22 года.

Дональду Райану Остину предъявлены обвинения по четырём инцидентам «умышленных действий, нанёсших ущерб защищённому компьютеру», по статье 18 U.S.C. § 1030(a)(5)(A) ^[7]. Данная статья предусматривает штраф до $250 000 и/или тюремное заключение на срок до 10 лет, плюс компенсацию ущерба пострадавшей стороне. По четырём случаям Дональд может получить штраф $1 млн, тюремный срок 40 лет и требование компенсировать ущерб пострадавшим.

В судебных документах ^[8] прокуратура обвиняет программиста в установке трояна Ebury и руткита Phalanx на серверы Odin1, Zeus1 и Pub3, которые находились в аренде у Linux Foundation и использовались для поддержания работы сайта kernel.org. Вредоносная программа работала с 13 августа 2011 года по 1 сентября 2011 года. Остина также обвиняют в заражении личного сервера электронной почты разработчика ядра Linux Питера Энвина (H. Peter Anvin) в те же сроки.

Учитывая серьёзность преступления, можно предположить, что одним штрафом программист не отделается. Всё-таки под Linux работает абсолютное большинство серверов и около двух процентов десктопных компьютеров в мире.

С другой стороны, Дональда вряд ли удастся обвинить в получении коммерческой выгоды, потому что на сервере kernel.org размещается свободного программное обеспечение, которое общедоступно и распространяется бесплатно.

Прокуратуре придётся много поработать, чтобы определить мотивы злоумышленника и объяснить его действия. Вероятно, в этих действиях не было корыстного мотива. На форумах предполагают, что парень просто хотел «взломать всех» и показать своё превосходство. Очевидно, он был неравнодушен к операционной системе Linux, хотя и не прислал ни одного патча. Его имени также нет в списке почтовой рассылки Linux Kernel Mailing List ^[9].

После задержания Остин представлен перед судом и был выпущен под залог $50 000, который оплатила семья его девушки ^[10].

Остину приказано не приближаться к компьютерам, не пользоваться интернетом, любыми видами социальных сетей и электронной почтой. Прокуратура указывает, что обвиняемый «может представлять угрозу» из-за «существенной истории злоупотреблений».

Следующие слушания по его делу назначены на 21 сентября 2016 года, 9:30 утра, в суде Сан-Франциско.

Автор: alizar

Источник ^[11]