La comunitat de Libretro, que desenvolupa i s'encarrega de mantenir el codi de l'popular emulador de consola de jocs RetroArch i la distribució de Linux per a crear consoles de jocs Lakka, advirtió sobre l'hackeo de la infraestructura de el projecte i el vandalisme en els repositoris.
En ell informin comenten que els atacants van poder accedir a l'buildbot i als repositoris en GitHub. Així mateix en GitHub, els atacants van obtenir accés a tots els repositoris de l'organització Libretro utilitzant el compte d'un dels participants fiables de el projecte.
l'activitat dels ciberdelinqüents es va limitar a el vandalisme: van intentar esborrar el contingut dels repositoris col·locant una confirmació inicial buida.
Amb la qual cosa l'atac va esborrar tots els repositoris presentats en tres de les nou llistes de repositoris de Libretro Github.
Vam ser l'objectiu d'un atac de ciberdelicte premeditat a la nostra infraestructura clau.
El hacker va fer el següent dany:
- Va accedir al nostre servidor buildbot i va paralitzar els serveis buildbot nocturns / estables, i el servei de lobby netplay. En aquest moment, Core Updater no funcionarà. Els llocs web per a aquests també s'han tornat inaccessibles de moment
- Va obtenir accés a la nostra organització Libretro en Github fent-se passar per un membre molt fiable de l'equip i va forçar un compromís inicial en blanc amb un percentatge just dels nostres repositoris, eliminant-los de manera efectiva. Ho va fer per danyar 3 de les 9 pàgines dels dipòsits. RetroArch i tot el que el precedeix a la pàgina 3 s'ha deixat intacte abans que es reduís el seu accés.
Encara estem esperant algun tipus de resposta o suport de Github. Esperem que puguin ajudar-nos a restaurar alguns d'aquests repositoris de Github destrossats al seu estat correcte, i també que ens ajudin a reduir la identitat de l'atacant.
Afortunadament, els desenvolupadors van bloquejar l'intent abans que els atacants arribessin a l'repositori clau de RetroArch.
Pel que fa a servidor de compilació, els atacants van danyar els serveis que generen les compilacions de prova i estables, així com els encarregats d'organitzar jocs en xarxa (netplay lobby).
No es van registrar els intents de substituir alguns arxius o realitzar canvis en les compilacions de RetroArch i els paquets principals.
Actualment, el treball de l'Core Installer, Core Updater i Netplay lobbie, així com els llocs i serveis relacionats amb aquests components (Update Assets, Update Overlays, Update Shaders) està trencat.
Encara estem avaluant la situació, però en el futur, creiem que probablement sigui millor no seguir endavant amb el servidor buildbot que es va veure compromès avui. Teníem alguns plans de migració a llarg termini per al canvi a un nou servidor, però això sempre es va retardar perquè sentim que no estàvem preparats per a la migració.
El principal problema que va enfrontar el projecte després de l'incident va ser la manca d'un procés de suport automatitzat.
L'última còpia de seguretat de servidor buildbot es va realitzar fa uns mesos. Els desenvolupadors van explicar els problemes per la falta de diners per al sistema de suport automàtic, a causa de l'pressupost limitat per al manteniment de la infraestructura.
Els desenvolupadors no tenen la intenció de restaurar el servidor anterior, sinó de llançar un de nou, la creació estava planejada. En aquest cas, les compilacions per a sistemes com Linux, Windows i Android s'executaran immediatament, però portarà temps restaurar les compilacions per a sistemes especialitzats, com consoles de jocs i compilacions de MSVC més antigues.
Això significaria que les compilacions més comuns per a Linux / Windows / Android estarien disponibles immediatament, però tots els sistemes especialitzats com consoles, compilacions antigues de MSVC i tot això haurien d'esperar més tard fins que l'haguem adaptat correctament a el nou sistema.
Se suposa que GitHub, a què es va enviar la sol·licitud corresponent, ajudarà a restaurar el contingut dels repositoris nets i identificar l'atacant. Fins al moment, només sabem que el hackeig es va realitzar des de l'adreça IP 54.167.104.253, és a dir, l'atacant probablement estava fent servir un servidor virtual d'AWS compromès com a punt intermedi.
Si vols conèixer més a l'respecte, pots consultar la nota en el següent enllaç.