De Libretro-gemeenschap, die de code ontwikkelt en onderhoudt voor de populaire RetroArch-gameconsole-emulator en Linux-distributie om Lakka-gameconsoles te maken, eenwaarschuwde voor het hacken van de infrastructuur van het project en vandalisme in opslagplaatsen.
In het rapport geven ze daar commentaar op aanvallers konden toegang krijgen tot de buildbot en repositories op GitHub Evenzo kregen de aanvallers op GitHub toegang tot alle opslagplaatsen van de Libretro-organisatie met behulp van het account van een van de vertrouwde deelnemers aan het project.
De activiteit van cybercriminelen was beperkt tot vandalisme: ze hebben geprobeerd de inhoud te verwijderen uit de repositories door een lege initiële commit te plaatsen.
Waarmee de aanval heeft alle opslagplaatsen uit drie van de negen lijsten verwijderd van Libretro Github-repositories.
We waren het doelwit van een met voorbedachte rade aanval op onze belangrijkste infrastructuur door cybercriminaliteit.
De hacker heeft de volgende schade aangericht:
- Het benaderde onze buildbot-server en stopte de nacht / stabiele buildbot-services en de netplay-lobby-service. Op dit moment werkt Core Updater niet. Ook de websites hiervoor zijn voorlopig onbereikbaar geworden
- Hij kreeg toegang tot onze Libretro-organisatie op Github door zich voor te doen als een zeer vertrouwd lid van het team en dwong een eerste blanco commit af met een redelijk percentage van onze repositories, waardoor ze effectief werden verwijderd. Het slaagde erin om 3 van de 9 pagina's van de repositories te beschadigen. RetroArch en alles wat eraan voorafgaat op pagina 3 is intact gelaten voordat de toegang werd verminderd.
We wachten nog steeds op een reactie of ondersteuning van Github. We hopen dat je ons kunt helpen om enkele van deze verbrijzelde Github-repositories in de juiste staat te herstellen en ons ook kunt helpen de identiteit van de aanvaller te verkleinen.
Gelukkig zijn de ontwikkelaars ze blokkeerden de poging voordat de aanvallers de sleutelrepository van RetroArch bereikten.
Wat betreft de build-server, de aanvallers hebben de services beschadigd die de test- en stabiele compilaties genereren, evenals degenen die verantwoordelijk zijn voor het organiseren van netwerkspellen (netplay lobby).
Pogingen om sommige bestanden te vervangen, werden niet geregistreerd of breng wijzigingen aan in RetroArch-builds en kernpakketten.
Momenteel is het werk van de Core Installer, Core Updater en Netplay Lobbie, evenals de sites en services met betrekking tot deze componenten (Update Assets, Update Overlays, Update Shaders) gebroken.
We zijn de situatie nog aan het evalueren, maar in de toekomst denken we dat het waarschijnlijk het beste is om niet verder te gaan met de buildbot-server die vandaag is gecompromitteerd. We hadden een aantal langetermijnmigratieplannen voor de verhuizing naar een nieuwe server, maar dit liep altijd vertraging op omdat we vonden dat we niet klaar waren voor de migratie.
Het hoofdprobleem waarmee het project werd geconfronteerd na het incident was het ontbreken van een geautomatiseerd back-upproces.
De laatste back-up van de buildbot-server is een paar maanden geleden gemaakt. De ontwikkelaars legden de problemen uit vanwege geldgebrek voor het automatische back-upsysteem, vanwege het beperkte budget voor infrastructuuronderhoud.
De ontwikkelaars zijn niet van plan de oude server te herstellen, maar om een nieuwe te lanceren, waarvan de oprichting was gepland. In dit geval zullen builds voor systemen zoals Linux, Windows en Android onmiddellijk worden uitgevoerd, maar het zal even duren om builds te herstellen voor gespecialiseerde systemen, zoals gameconsoles en oudere MSVC-builds.
Dit zou betekenen dat de meest voorkomende builds voor Linux / Windows / Android onmiddellijk beschikbaar zouden zijn, maar alle gespecialiseerde systemen zoals consoles, oude MSVC-builds en dat alles zouden later moeten wachten totdat we het met succes hebben aangepast aan het nieuwe systeem.
GitHub zou moeten, waarnaar het overeenkomstige verzoek is verzonden, helpt de inhoud van schone repositories te herstellen en de aanvaller te identificeren Tot nu toe weten we alleen dat de hack is gedaan vanaf het IP-adres 54.167.104.253, wat betekent dat de aanvaller waarschijnlijk een gecompromitteerde virtuele AWS-server als tussenpunt gebruikte.
Wil je er meer over weten, dan kun je de nota raadplegen In de volgende link.