صدها نفر از توسعه دهندگان، مخازن کد منبع Git را پاک کرده و با تقاضای جبران جایگزین کرده اند.
حملات آغاز شده در اوایل امروز، به نظر می رسد در سراسر خدمات میزبانی Git (GitHub، Bitbucket، GitLab) هماهنگ شده است، و هنوز مشخص نیست که چگونه آنها اتفاق می افتد.
چیزی که شناخته شده این است که هکر تمام کد منبع و دستورات اخیر را از مخزن Git vitcims حذف می کند و یک یادداشت جبران ناپذیر را پشت سر می گذارد که خواستار پرداخت 0.1 بیت کوین (~ 570 دلار) است.
هکر ادعا می کند که تمام کد منبع در یکی از سرورهای خود بارگیری و ذخیره می شود و قربانی ده روز به پرداخت جبران خسارت می پردازد؛ در غیر این صورت، آنها کد را عمومی می کنند.
برای بازیابی کد های از دست رفته خود و جلوگیری از نشت آن: ارسال 0.1 Bitcoin (BTC) به آدرس Bitcoin ما ES14c7qLb5CYhLMUekctxLgc1FV2Ti9DA و با ما تماس بگیرید با ایمیل در admin@gitsbackup.com با ورود به سیستم Git خود و اثبات پرداخت. اگر مطمئن نیستید که اطلاعات خود را داشته باشید، با ما تماس بگیرید و ما یک مدرک برای شما ارسال خواهیم کرد. کد شما در سرورهای ما دانلود و پشتیبان گیری می شود. اگر ما در 10 روز آینده پرداخت شما را دریافت نکنیم، کد شما را به صورت عمومی و یا از موارد دیگر استفاده می کنیم.
پرداخت در آدرس ES14c7qLb5CYhLMUekctxLgc1FV2Ti9DA بیتکوین، که، در زمان نوشتن، تا هر گونه وجوه دریافت نکرده درخواست شده است.
سکه های مرگ و میر و شمارش
جستجوی GitHub نشان می دهد که تا کنون حداقل 392 مخزن GitHub مورد استفاده قرار گرفته اند.
با توجه به BitcoinAbuse.com، یک وبسایت که آدرسهای بیت کوین را برای فعالیت مشکوک مورد استفاده قرار می دهد، امروزه 27 گزارش سوء استفاده برای این آدرس وجود دارد، زمانی که ابتدا در پایگاه داده سایت نمایش داده شد. همه گزارش های سوء استفاده شامل یک یادداشت جبران خسارت است، که نشان می دهد آدرس Bitcoin در یک حمله هماهنگ شده با هدف حساب Git مورد استفاده قرار می گیرد.
برخی از کاربران که قربانی این هکر شده اند مجاز به استفاده از کلمه عبور ضعیف برای حساب های GitHub، GitLab و Bitbucket خود هستند و فراموش کردن حذف برچسب های دسترسی برای برنامه های قدیمی که ماه ها استفاده نکرده اند - که هر دو روش بسیار رایج هستند که حساب های آنلاین معمولا به خطر می افتد.
با این حال، تمام شواهد نشان می دهد که هکر کل اینترنت را برای فایل های پیکربندی Git اسکن کرده است، اعتبار های استخراج شده، و سپس از این logins ها برای دسترسی و دفع حساب در سرویس های میزبانی وب Git استفاده می کند.
کتی وانگ، مدیر امنیت برای GitLab، در یک ایمیل به ZDNet، اذعان کرد که این امر دلیل اصلی یک حساب کاربری است که کاربر را به زودی در StackExchange گزارش می دهد.
ما منبع را بر اساس یک بلیط پشتیبانی شده توسط استفان گابوف دیروز شناسایی کردیم و بلافاصله موضوع را بررسی کردیم. ما حسابهای کاربری تحت تأثیر را شناسایی کرده ایم و همه این کاربران اطلاع داده شده اند. در نتیجه تحقیقات ما شواهد قوی وجود دارد که حسابهای آسیب دیده دارای رمزهای حساب ذخیره شده در متن ساده در استقرار یک مخزن مرتبط هستند. ما به شدت از استفاده از ابزارهای مدیریت رمز عبور برای ذخیره کلمات عبور به شیوه ای ایمن تر استفاده می کنیم و هر کدام که ممکن است امکان احراز هویت دو عامل را فراهم کنیم، هر دو از این مسئله جلوگیری می کنند
Atlassian، شرکتی که Bitbucket دارد، به درخواست درخواست نظر پاسخ نداده است، اما آنها شروع به اطلاع رسانی به مشتریانی کردند که اعتقاد دارند که هکرها دسترسی غیر قانونی را دریافت کرده اند، و همچنین شروع به ارسال هشدارهای امنیتی به حساب هایی که تلاش های ورود به سیستم ناموفق بوده است.
راهی برای بازپس گرفتن
خبر خوب این است که پس از حادثه از طریق پرونده قربانی، اعضای جلسه امنیتی StackExchange متوجه شدند که هکرها در واقع حذف نمیکنند، اما در حقیقت، هکرهای Git commit را تغییر میدهد، به این معنا که در برخی موارد ممکن است مرتکب شده باشد.
دستورالعمل در مورد نحوه بازیابی مخازن Git منگل در این صفحه موجود است.
در توییتر، چندین شخصیت مهم در جامعه توسعه دهنده، در حال حاضر قربانیان را برای تماس با تیم های پشتیبانی در GitHub، GitLab، یا Bitbucket، قبل از پرداخت هرگونه تقاضای پس انداز، می خواهند، زیرا ممکن است راه های دیگری برای بازیابی حذف رپو نیز وجود داشته باشد.
به احتمال زیاد، مخزن Git نیز به خطر افتاده است، که بدون شک تحقیقات طولانی در شرکت هایی که ممکن است کد اختصاصی خود را به طور بالقوه به یک سرور از راه دور متصل کرده اند، باعث شود.
هکرها از یک شرکت بزرگ فناوری اطلاعات آلمان با اطلاعات سرقت رفته در برخی از بزرگترین شرکت های دنیا، گزارش مادربرد را تهدید می کنند.
هکرها یک وبسایت ایجاد کردند که در آن ادعا کرد که "از اطلاعات 516 گیگابایتی اطلاعات مالی و خصوصی در مورد همه مشتریان" از ارائه دهنده خدمات فناوری اطلاعات Citycomp به سرقت رفته است. این شرکت مدعی است که برخی از مشتریان قابل توجه در کتابهایش، از جمله اوراکل، ایرباس، هوگو بای، پورشه و فولکس واگن هستند.
مایکل بارچ، مدیر اجرایی شرکت امنیتی Cyber Security دورتور که Citycomp اعلام کرد مجاز به صحبت در مورد حمله بود، به مادربورد اطمینان داد که این هک اتفاق افتاده است.
بارتس گفت: "Citycomp هک شده و تهدید شده است و حمله ادامه دارد." "ما باید مراقب باشیم زیرا کل پرونده تحت تحقیقات پلیس است و مهاجم سعی دارد تمام ترفندها را انجام دهد."
بارچچ افزود که تمام مشتریان آسیب دیده از این حمله اطلاع داده شده است و این شرکت در تلاش برای اخاذی مهاجمان نیست.
او گفت: "ما به مطالبات اخاذی رضایت دادیم و تحلیلگران ما در حال انجام تجزیه و تحلیل جامع فنی و قانونی در مورد حمله هستند. مشخص نیست چطور هکرها خواستار آن هستند.
طبق گزارش وب سایت، این پرونده ها به طور عمومی در روز 31 آوریل منتشر می شوند اما همانطور که Joseph Cox مادربرد می گوید، 31 آوریل وجود ندارد.
ککس اشاره کرد که اطلاعات دزدیده شده در دسترس نیست و کلیک بر روی فایل ها پیام های "403 ممنوع" را به دست آورد. با این حال، او توانست لیستی از فایل ها و اسامی آنها را ببیند که بسیاری از آنها نشان می دهد که فایل ها حاوی صفحات گسترده مرتبط با امور مالی هستند.
وقتی شرکت Business Insider با آن ارتباط برقرار کرد، Citycomp برای دیدگاه بلافاصله در دسترس نبود.
دن پترسون، تهیه کننده ارشد CNET و CBS News، با الکس سیمونز، معاون شرکت مایکروسافت هویت بخش مایکروسافت، درباره تهدیدات مختلفی که امروزه در شرکت مطرح شده است صحبت کرد. شرح زیر ویرایش مصاحبه است.
الکس سیمونز: مدیران رمز عبور قطعا یک گزینه خوب هستند. در حقیقت ما آنها را به مشتریان توصیه می کنیم همیشه می گویند: "هی، اگر شما به طور کامل نمی خواهید بدون رمز عبور، یک مدیر رمز عبور دریافت کنید"، اما آنها فوق العاده راحت نیستند و بسیاری از آنها کار نمی کنند به خوبی در تمام دستگاه های مختلف خود را. این یک راه حل کامل نیست، اما قطعا بهتر از هیچ چیز نیست. مطمئنا همینطوره.
مجموعهای از اطلاعات ارزشمند در مورد شما در ابر وجود دارد. درست؟ هکرها به دنبال چندین چیز متفاوت هستند. آنها به دنبال چیزهایی هستند که می توانند از طریق پول درآورده شوند. واقعا ارزشمند است که بتوانم حساب کاربری Xbox خود را هک کنم و علامت خود را دریافت کنم زیرا شما می توانید نماد من و تمام دستاوردهای من را در بازار سیاه فروخت و کسی آن را خریداری می کند. واقعا ارزشمند است. اگر بتوانید به حساب بانکی من دست بزنید، درست است، پس ناگهان شما توانایی های بیشتری را در اختیار دارید. شما می توانید وارد شوید و پول را منتقل کنید. احتمالا همه انواع چیزهای نادرست را انجام دهید. همه این حسابها ارزش را نشان می دهند و لحظه ای که ارزش آن وجود دارد، پس ناگهان یک اقتصاد وجود دارد و هکرها می خواهند پس از آن اقتصاد را ترک کنند.
بازیکنان بطور قطع تهدید وجود دارند که با کشورهای مختلف در سراسر جهان مرتبط هستند. به عنوان مثال، بازیگران تهدیدی وجود دارند که می دانیم، به عنوان مثال، در ارتباط با دولت های ملی به عنوان مثال در چین، روسیه و دیگر مکان های مشابه است. گروه های زیادی از هکرها سازمان یافته نیز وجود دارند که فقط نوعی وابسته به آن هستند. بسیاری از زمان هایی که ایمیل دریافت می کنید می گوید "اوه، من از نیجریه هستم و من شاهزاده ای هستم و اگر شما فقط چیزهای زیر را انجام دهید، من پول خود را به شما تحویل می دهم" گروه های مرتبط هکرها، اما آنها این زنجیره های حرفه ای هستند، درست است؟ یک هکر جوان ممکن است بیرون رود و سعی کند تعداد زیادی از حسابها را خراب کند و وقتی آنها بالاخره یک خوب را پیدا کنند، آنگاه این حساب را به یک هکر بسیار با تجربه تر باز می گردانند که بعدا وارد کار می شوند و در واقع کار سختی را انجام می دهند از ورود به حساب و گسترش و گرفتن چیزها. طیف گسترده ای وجود دارد، اما آنها واقعا به این دو گروه تقسیم می شوند: دولت های ملی حمایت می شوند و نوعی از این گروه های کم اهمیت هستند.