The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]



"На GitHub выявлены 73 репозитория с бэкдорами"
Вариант для распечатки  
Пред. тема | След. тема 
Форум Разговоры, обсуждение новостей
Изначальное сообщение [ Отслеживать ]

"На GitHub выявлены 73 репозитория с бэкдорами"  +/
Сообщение от opennews (ok), 04-Мрт-19, 23:07 
Исследователи безопасности из команды "dfir it" выявили (https://dfir.it/blog/2019/02/26/the-supreme-backdoor-factory/) на GitHub цепочку учётных записей, предлагающих подложные репозитории с кодом и сборками различных проектов, включающими вредоносный код для получения контроля за системой пользователя. Всего было выявлено 74 репозитория (https://github.com/dfir-it/supreme-backdoor-factory/blob/mas...) с вредоносным кодом и несколько сотен бинарных файлов в формате ELF, JAR и PE, содержащих бэкдоры.  В настоящее время все связанные с выявленной вредоносной активностью учётные записи уже удалены с GitHub.


В ходе классификации вредоносных вставок был выделен
41 вариант (https://github.com/dfir-it/supreme-backdoor-factory/blob/mas...) бэкдоров, созданных на основе нескольких типовых реализаций для получения удалённого контроля за системой. В большинстве случаев вредоносный код обеспечивал загрузку и выполнение скрипта с внешнего сайта. Проблемные репозитории включали форки или бинарные сборки известных проектов, таких как FFmpeg, LAME, JXplorer и EasyModbus, изменённые с целью получения контроля за системами пользователей. Бэкдоры были сформированы для Linux, Windows и macOS.


Интересно, что список учётных записей с вредоносным кодом был определён путём анализа социальных связей у пользователя, в коде которого изначально был найден бэкдор. Оценив пользователей, отслеживавших изменения и выставлявших "звёздочки" на GitHub (списки Watch и Star) было выделено 89 типовых (https://github.com/dfir-it/supreme-backdoor-factory/blob/mas...) учётных записей, созданных примерно в одно время и распространявших код с бэкдорами. Например, в 9 репозиториях пользователя adunkins (https://web.archive.org/web/20190221210742/https://github.co...) (Andrew Dunkins) было найдено 305 исполняемый файлов с бэкдорами, в том числе поставлявшиеся под видом инструментариев OpenWRT и MinGW.

URL: https://dfir.it/blog/2019/02/26/the-supreme-backdoor-factory/
Новость: https://www.opennet.ru/opennews/art.shtml?num=50247

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "На GitHub выявлены 73 репозитория с бэкдорами"  –28 +/
Сообщение от microcoder (ok), 04-Мрт-19, 23:07 
> изменённые с целью получения контроля за системами пользователей

Расскажите, а что у пользователя можно контролировать? Фоточки? Чем интересуются конкретно те, кто внедряет код? Что там такого ценного, чего нельзя найти в соцсетях?

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

2. "На GitHub выявлены 73 репозитория с бэкдорами"  +9 +/
Сообщение от Аноним (2), 04-Мрт-19, 23:20 
Можно спам рассылать, DDoS-ить, майнить и сниффить локальную сеть на предмет паролей и прочих конфедерциальных данных. Этого достаточно. Кстати, фотки  некоторые вредоносы тоже  сливают, в надежде, что там будет домашняя порнография или другие поводы для шантажа.
Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

5. "На GitHub выявлены 74 репозитория с бэкдорами"  –15 +/
Сообщение от microcoder (ok), 04-Мрт-19, 23:35 
Я так понимаю, корпоротивные сети и компьютеры в данном случае можно полностью исключить, так как администраторы такое врядли пропустят?

Ну допустим появился у меня как у рядового пользователя бэкдор или какая-либо другая лазейка. Допустим, украли аккаунты и пароли к ним. Какой я получу материальный ущерб? Скорее никакой, так как в наиболее важных местах установлена двуфакторная аутентификация. Только могу лишится нематериальных каких-то ресурсов? Просто получу вред, потеряю время, какие-то лайки, звездочки и привелегии на аккаунтах форумов, соцсетей. Что получат мошенники?

Из всего перечисленного, серьёзным вредом выделяется майнинг и DDoS. Какие средства есть в Линуксе для борьбы с этим?

Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

7. "На GitHub выявлены 74 репозитория с бэкдорами"  +4 +/
Сообщение от Xasd5 (?), 04-Мрт-19, 23:41 
ды просто все вордовские файлы зашифруют (в надеждечто нет бэкапа) -- и будут шантажировать на получение пароля.
Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

12. "На GitHub выявлены 74 репозитория с бэкдорами"  +1 +/
Сообщение от Crazy Alex (ok), 05-Мрт-19, 01:00 
Да что угодно. От банального спама/ддоса/майнинга и чуть менее банального угона кредиток и подобного (блин, да тот же скан паспора у каждого второго лежит) до более целенаправленных атак на интересных жертв. Те же креденшлы доступа к корпоративным сетям - запросто. Кстати, двухфакторка вида TOTP SMS не факт, что поможет - протроянить смартфон при уже поломанном ПК - задача решаемая. Атака на разработчиков - есть шанс добраться до коммерческих секретов или протроянить софт, который они пишут.

Ну а каким манером "корпоротивные сети и компьютеры в данном случае можно полностью исключить" - даже не знаю. Так и запретили скачивать тулзы от linaro с гитхаба, угу. Или EasyModbus тот же. И пошёл троян гулять по клиентским системам...

Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

15. "На GitHub выявлены 74 репозитория с бэкдорами"  –3 +/
Сообщение от microcoder (ok), 05-Мрт-19, 01:22 
> Ну а каким манером

Насколько я понял, то внедряется вредоносный код в исходники. Каким образом вредоносный скомпилированный бинарник может взломать сеть, пройти ACL, пробить ядро линукса другой машины/сервера, заменить существующие бинарники, чтобы размножаться... ну не знаю... Если такое возможно, то зачем тогда гитхаб в этом случае?

А если разрешено каждому Васе в корпорации лезть на гитхаб, качать проект, компилировать его на локальной машине.. Зачем тогда админы нужны в корпорации? Я тут даже и не знаю, может я ошибаюсь...

Ответить | Правка | ^ к родителю #12 | Наверх | Cообщить модератору

20. "На GitHub выявлены 74 репозитория с бэкдорами"  +2 +/
Сообщение от Crazy Alex (ok), 05-Мрт-19, 02:50 
Гитхаб - понятно зачем. 1) чтобы заставить запустить левую софтину - разработчики сейчас дрессированные, смотрят, откуда бинари качают. А тут - может и прокатить, особенно если самосбор. 2) засунуть в либу - вообще золото, если не заметят - разъедется по юзерским машинам вместе с софтиной, которая использует протрояненную либу. А дальше - какие, на фиг, ACL? Это разве что в банках софту разрешат ходить на полтора сайта, обычно же - если есть хоть какие-то сетевые возможности (а сейчас они есть вообще у всего) - то вперёд, получать команды/подгружать пейлоад из интернета. А дальше уж вопрос к пейлоаду что именно он умеет делать - от шелла до шифровальщика.

P.S. А что, бывают концлагеря, где разработчикам запрещено сказать и скомпилировать проект с гитхаба? Даже не слышал о таких. Лично я бы с такими психами связываться не стал.

Ответить | Правка | ^ к родителю #15 | Наверх | Cообщить модератору

29. "На GitHub выявлены 74 репозитория с бэкдорами"  +/
Сообщение от microcoder (ok), 05-Мрт-19, 08:36 
> А что, бывают концлагеря, где разработчикам запрещено сказать и скомпилировать проект с гитхаба?

Если существуют такие разработчики, что не проверяют что и откуда компилят, то "концлагеря" разумное решение в этой "помойке" ))

Ответить | Правка | ^ к родителю #20 | Наверх | Cообщить модератору

14. "На GitHub выявлены 74 репозитория с бэкдорами"  +/
Сообщение от Аноним84701 (ok), 05-Мрт-19, 01:22 
> Скорее никакой, так как в наиболее важных местах  установлена двуфакторная аутентификация.

Во-первых, чтобы не "докучать" пользователю каждый раз, оно может быть вот примерно таким (amazon)
> We use cookies to remember your preferences, so you will not be asked to enter a security code upon each sign-in. If you clear your cookies or use a different browser or device, you may be asked again for verification

Во-вторых:
c полным контролем машины можно добавить "правильный" корневой сертификат и "правильный" DNS, подменить номер счета при переводе или просто перенаправить вас на прозрачный прокси и подождать, когда вы сами отошлете туда ваш "второй фактор".
Аутентификация на два канала тоже взламывалсь еще лет шесть назад -- тот же Eurograbber (вариант Зевса) спер под полсотни миллионов у.е. с портретами мертвых президентов, несмотря на необходимость подтвержения каждой трансакции отсылкой TAN по SMS (т.е. через телефон).

Ну и по мелочи – Social Engineering, плюс от вашего имени можно что-то замутить -- звездочки там порасставлять, полайкать для накрутки рейтинга очередной конторы "Рога и Копыта".

Опять же, ваш компютер будет отличным socks-proxy для кардеров и прочих сомнительных личностей (еще лет десять назад за пачку таких проксей на соотв. ресурсах давали $5/20шт/на пару недель-месяц).

Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

16. "На GitHub выявлены 74 репозитория с бэкдорами"  –2 +/
Сообщение от microcoder (ok), 05-Мрт-19, 01:43 
> подменить номер счета при переводе

Так для этого у банка есть защита - присылает код подтверждения и номер счета куда перевод осуществляется. Может это в каких-то других случаях работает, не знаю.

> на прозрачный прокси и подождать, когда вы сами отошлете туда ваш "второй фактор"

А как они расшифруют HTTPS чтобы получить данные на прокси? Я не помню точно, как это работает, но приватный ключ то у банка находится? Или придётся им полностью функционал банка повторить и направить меня через "правильный" DNS на эту копию? Насколько это вообще реально и были ли такие истории с банками?

> Ну и по мелочи – Social Engineering

Ну да, вот это реальнее. Нервы потрепят.

Ответить | Правка | ^ к родителю #14 | Наверх | Cообщить модератору

21. "На GitHub выявлены 74 репозитория с бэкдорами"  +1 +/
Сообщение от Аноним84701 (ok), 05-Мрт-19, 02:55 
> Так для этого у банка есть защита - присылает код подтверждения и
> номер счета куда перевод осуществляется. Может это в каких-то других случаях  работает, не знаю.

Присылает теперь. Совсем не от хорошей жизни -- поисковик "banking trojan" в помощь.
Опять же, можно "нарисовать" (подменив на странице локальным скриптом) "нужный" номер кошелька/счета  сразу на показываемой странице, тогда номер будет совпадать с присланным.

> А как они расшифруют HTTPS чтобы получить данные на прокси? Я не помню точно, как это работает, но приватный ключ то у банка находится?

Точно так же, как и вы его расшифровываете, хотя ключ вроде как у банка (если не помните точно, то почитайте, что ли -- понимание принципа работы всегда пригодится).
Только соединение у вас с ними, а у них уже -- с банком. HTTPS спасает от "Васяна посередине", который решил вклинится в ваше соединение с банком. Но если "Васян" целиком контролирует ваш браузер, то …

> Или придётся им полностью функционал банка повторить и направить меня
> через "правильный" DNS на эту копию? Насколько это вообще реально и были ли такие истории с банками?

Это вообще классика фишинга. Тем более, при возможности добавить свой корневой сертификат и атаке посредника, ничего самому рисовать не надо -- только  попускать, попутно "фильтруя", через свой прокси ваше соединение с банком.

Ну и кроме банков есть куча других страниц -- интернет-магазины, аукционы и прочее.

Ответить | Правка | ^ к родителю #16 | Наверх | Cообщить модератору

22. "На GitHub выявлены 74 репозитория с бэкдорами"  +/
Сообщение от Crazy Alex (ok), 05-Мрт-19, 02:57 
Угу, и дай бог, чтобы на сумму посмотрели, а не тупо ввели код, о номере счёта я и не говорю. Кстати, visa 3d secure, например, только сумму и присылает, но не получателя.

Подменить всё и вся - да запросто. Вот, например, первое, что попалось: https://xakep.ru/2019/01/10/modlishka/

Ответить | Правка | ^ к родителю #16 | Наверх | Cообщить модератору

3. "На GitHub выявлены 73 репозитория с бэкдорами"  –1 +/
Сообщение от Final Countdown (?), 04-Мрт-19, 23:27 
написано же, бекдор
Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

4. "На GitHub выявлены 74 репозитория с бэкдорами"  +3 +/
Сообщение от Онаним (?), 04-Мрт-19, 23:35 
Бэкдорчиком можно много весёлого делать. Например, заходит юзер на страницу оплаты его любимого корма для котов, нажимает "оплатить", а бэкдорчик читает сумму и фигачит его на страницу оплаты корма для котов автора бэкдора. Далее разборчивый юзер поймёт, что что-то не то, и страница оплаты непривычная, а вот хомяк типовой - так и оплатит автору бэкдора корзинку корма остатками со своей кредитки.
Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

6. "На GitHub выявлены 74 репозитория с бэкдорами"  +/
Сообщение от Онаним (?), 04-Мрт-19, 23:36 
Ну, не сам бэкдорчик, payload, но сути не меняет.
Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

8. "На GitHub выявлены 74 репозитория с бэкдорами"  +/
Сообщение от maks (??), 05-Мрт-19, 00:16 
Как-то где-то мелькали новости о том, что у каких-то там крутых погромистов угоняли пароли путем подстановки формы, так что сложно заметить подмену, если ты изначально не ждешь подвоха.
Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

10. "На GitHub выявлены 73 репозитория с бэкдорами"  +1 +/
Сообщение от Аноним (10), 05-Мрт-19, 00:31 
Активность на опеннете мониторить
Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

32. "На GitHub выявлены 73 репозитория с бэкдорами"  +/
Сообщение от Аноним (32), 05-Мрт-19, 11:42 
Как думаешь какой процент пользователей хранит пароли в менеджерах паролей, а какой в обычном текстовом файле? Кроме того каталог профиля firefox можно скопировать между машинами - и он будет запускаться как не бывало со всеми активными куками, и отобразит все сохраненные пароли так как обычно мастер пароль никто не устанавливает.
Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

11. "На GitHub выявлено 73 репозитория с бэкдорами"  –4 +/
Сообщение от Аноним (11), 05-Мрт-19, 00:45 
сборки уже заряжены этим от производителя по регионам Rus Eng Ua Kz, доступ за огромные суммы, ежегодно, ежемесячно, по часам, разные уровни доступа. Сбор данных, гос безопасность. Клиенты; налоговая, страховая, почта росии (хз зачем). Спалился, потерял больше...
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

13. "На GitHub выявлено 73 репозитория с бэкдорами"  +4 +/
Сообщение от Аноним (13), 05-Мрт-19, 01:22 
О_о
*музыка из Х-files*
Товарищ, вы о чём? Или у вас мания преследования?
Если уж на то пошло - где пруфы или вообще какие-либо обоснования ваших слов?
Ответить | Правка | ^ к родителю #11 | Наверх | Cообщить модератору

24. "На GitHub выявлено 73 репозитория с бэкдорами"  –1 +/
Сообщение от Аноним (24), 05-Мрт-19, 06:31 
Держи пруф https://www.opennet.ru/opennews/art.shtml?num=50247
Ответить | Правка | ^ к родителю #13 | Наверх | Cообщить модератору

27. "На GitHub выявлено 73 репозитория с бэкдорами"  +2 +/
Сообщение от Аноним (13), 05-Мрт-19, 08:25 
Нет, кроме опеннета. Да и пруфы именно не вообще наличия бекдоров сферически в вакууме, а про за зараженность ими официального контента ("любознательность" юзверей - не в счёт). А то пока что это треп и не более.
Ответить | Правка | ^ к родителю #24 | Наверх | Cообщить модератору

17. "На GitHub выявлено 73 репозитория с бэкдорами"  –1 +/
Сообщение от vitalif (ok), 05-Мрт-19, 01:51 
Всего 73?....
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

18. "На GitHub выявлено 73 репозитория с бэкдорами"  +/
Сообщение от Анонимemail (18), 05-Мрт-19, 02:10 
Вам известно больше?
Ответить | Правка | ^ к родителю #17 | Наверх | Cообщить модератору

25. "На GitHub выявлено 73 репозитория с бэкдорами"  –2 +/
Сообщение от Аноним (25), 05-Мрт-19, 07:00 
Нужно было чтобы огласили весь список, а не те кто им не заплатил.
Есть вариант что как раз кто заплатил гнобят конкурентов ...
Ответить | Правка | ^ к родителю #18 | Наверх | Cообщить модератору

28. "На GitHub выявлено 73 репозитория с бэкдорами"  +1 +/
Сообщение от Аноним (28), 05-Мрт-19, 08:29 
> Есть вариант что как раз кто заплатил гнобят конкурентов ...

Крайне интересная теория заговора от скрипт-кидди adunkins.

Ответить | Правка | ^ к родителю #25 | Наверх | Cообщить модератору

26. "На GitHub выявлено 73 репозитория с бэкдорами"  +/
Сообщение от ананим.orig (?), 05-Мрт-19, 08:14 
Всего 73 нашли
Ответить | Правка | ^ к родителю #17 | Наверх | Cообщить модератору

23. "На GitHub выявлено 73 репозитория с бэкдорами"  –1 +/
Сообщение от Аноним (28), 05-Мрт-19, 06:04 
> в 9 репозиториях пользователя adunkins (Andrew Dunkins)
> было найдено 305 исполняемых файлов с бэкдорами

Вот это скрипт-кидди и спамит тут "даешь свободу".

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

30. "На GitHub выявлено 73 репозитория с бэкдорами"  +/
Сообщение от Аноним (30), 05-Мрт-19, 10:08 
Всё как и предсказывалось. Напомню: ещё было предсказание о скупке у авторов популярных библиотек их GitHub аккаунтов.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

31. "На GitHub выявлено 73 репозитория с бэкдорами"  –5 +/
Сообщение от Anon_Erohin (?), 05-Мрт-19, 10:20 
Я считаю после такого скандала GitHub нужно закрывать. Блин после покуки мелкомягкими они стали рассадником ПО с бекдорами, куда международные организации смотрят? А ну да, это же микрософт с их баблом...
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

33. "На GitHub выявлено 73 репозитория с бэкдорами"  +2 +/
Сообщение от Аноним (28), 05-Мрт-19, 11:43 
И что примечательно: до покупки "мелкомягкими" скрипт-киддисы хорошо себя на Гитхабе чувствавали, а тут началось.
Ответить | Правка | ^ к родителю #31 | Наверх | Cообщить модератору

39. "На GitHub выявлено 73 репозитория с бэкдорами"  +/
Сообщение от Ключевский (?), 07-Мрт-19, 20:16 
> Я считаю после такого скандала GitHub нужно закрывать. Блин после покуки мелкомягкими
> они стали рассадником ПО с бекдорами, куда международные организации смотрят? А
> ну да, это же микрософт с их баблом...

На каком основании закрывать? Причина «не понравилось русскочелюстному анониму»? Ну так в мире плевать на тебя и твоих тараканов

Ответить | Правка | ^ к родителю #31 | Наверх | Cообщить модератору

34. "На GitHub выявлено 73 репозитория с бэкдорами"  +/
Сообщение от Анонимemail (34), 05-Мрт-19, 13:37 
> "В настоящее время все связанные с выявленной вредоносной активностью учётные записи уже удалены с GitHub."

двое уже возродились:
https://github.com/burhanick
https://github.com/bucka23

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

35. "На GitHub выявлено 73 репозитория с бэкдорами"  –1 +/
Сообщение от Аноним (35), 05-Мрт-19, 16:09 
Может быть прикрутить антивирус Касперского к GitHub?
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

36. "На GitHub выявлено 73 репозитория с бэкдорами"  +1 +/
Сообщение от Аноним (36), 06-Мрт-19, 02:17 
>> антивирус Касперского

А это кгбэшное зачем там? Что бы еще один троян добавить?

Ответить | Правка | ^ к родителю #35 | Наверх | Cообщить модератору

37. "На GitHub выявлено 73 репозитория с бэкдорами"  –1 +/
Сообщение от Аноним (28), 06-Мрт-19, 09:39 
Очевидно, потому что аэнбэшное из-за встроенных десятка троянов не справилось.
Ответить | Правка | ^ к родителю #36 | Наверх | Cообщить модератору

40. "На GitHub выявлено 73 репозитория с бэкдорами"  +/
Сообщение от InuYasha (?), 08-Мрт-19, 12:39 
Ждите разгромных статей "Опенсорс это опасно!!!!1111!" на блумберге и первом анале.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру