Hackerato il profilo GitHub di LibRetro: notte insonne per RetroArch e la comunità di retro gamers

Hackerato il profilo GitHub di LibRetro: notte insonne per RetroArch e la comunità di retro gamers


Verso le 6:00 di lunedì 17 agosto, il team di sviluppo del progetto LibRetro ha subito un attacco da parte di un hacker non identificato, risultato nella compromissione dell’infrastruttura principale dove erano preservati i progetti del team.

Obiettivo dell’attacco è stato il profilo GitHub del progetto, il quale si è visto cancellare in poche ore 3 delle 9 pagine di repositories pubblicate, in seguito alla compromissione di un account appartenente al team di sviluppo. Secondo il changelog, il membro dell’organizzazione avrebbe forzato il caricamento di un commit totalmente vuoto sulla maggior parte dei progetti, risultando così nella sovrascrittura di numerosi asset.

Si sospetta che questo account abbia subito un furto di credenziali potenzialmente favorito dall’assenza di doppio fattore di autenticazione (2FA).

Successivamente, è stato preso di mira anche il loro server Buildbot, compromettendo irreparabilmente le release stabili e ad accesso anticipato dei progetti.

18/08/2020 – Ore 02.20

Il team ha immediatamente bloccato la possibilità di aggiornare i core Libretro, impedendo così agli utenti di danneggiare eventualmente i sistemi.

Schermata comparsa sul mio RetroPie durante il tentativo di aggiornamento

Il team ha giustamente sottolineato che, essendosi trattato di una cancellazione dei file, la sicurezza delle librerie non è stata in alcun modo compromessa, pertanto eventuali aggiornamenti o installazioni attuali sono da reputare sicuri.

Ovviamente, trattandosi di un progetto indipendente e fortemente supportato dalla sola comunità di utenti, la vicinanza al team di sviluppo non si è fatta attendere.

Il motivo

Tra gli utenti è saltato fuori il sospetto che qualche purista del retrogaming su console possa essersi sentito in bisogno di proteggere i suoi ideali in questo modo…

https://gbatemp.net/threads/retroarch-servers-and-repositories-have-been-hacked.572049/page-2#post-9171057

Le teorie non si sono fermate: qualcuno ha ipotizzato che il responsabile potesse essere un membro del team che avrebbe agito in virtù di conflitti personali o ideologici all’interno del gruppo.

Tweet archiviato poiché cancellato dall'autore - https://web.archive.org/web/20200816164345/https://twitter.com/ramses_3rd/status/1295038307450130434
https://gbatemp.net/threads/retroarch-servers-and-repositories-have-been-hacked.572049/page-2#post-9171159
“il capo sviluppatore è famoso per essere uno stronzo nei confronti degli altri sviluppatori che non la pensano come lui, ossia che ogni emulatore dovrebbe essere open source”; https://gbatemp.net/threads/retroarch-servers-and-repositories-have-been-hacked.572049/page-3#post-9171283

L’attaccante

Non si hanno informazioni né rivendicazioni di questo attacco. L’unica informazione che il team è riuscito ad ottenere è un indirizzo IP appartenente alla rete Amazon AWS, 54.167.104.253.

Su diverse fonti OSINT non risultano attività pregresse associate a questo indirizzo, perciò la strada per una investigazione porta ad un apparente binario morto.

VirusTotal
AbuseIPDB

GitHub non ha collaborato 🙁

Stando a quanto riportato dal team su Twitter, la piattaforma GitHub non sarebbe stata in grado di fare il rollback delle repositories, lasciando i ragazzi in balia di un ripristino interamente manuale.

Tutto è bene quel che finisce bene

Sembra che attualmente (circa 15 ore dopo l’incidente) sia tornato tutto alla normalità.

Il servizio di aggiornamento è tornato operativo, eccezion fatta per il server Buildbot, il quale è stato deciso di lasciarlo al momento in stallo.


Letture interessanti:

Mostra i Commenti