Linux Kernel vững vàng trước các cuộc tấn công tinh vi
Trong nước - Ngày đăng : 07:33, 04/11/2015
Những kẻ tấn công đã sửa đổi một số tập tin và hoạt động đăng nhập của người dùng trên các máy chủ bị tổn hại, theo một thông báo được đăng trên trang web kernel.org vào ngày 31 tháng 8. Những kẻ tấn công có thể thay đổi phần mềm OpenSSH giữa máy chủ và máy khách được cài đặt trên máy chủ bị nhiễm. Tuy nhiên, thực tế là những kẻ tấn công đã không thay đổi mã nguồn OpenSSH.
Vụ tấn công xảy ra vào tháng Tám và được phát hiện ngày 28 tháng 8 bởi các nhân viên của tổ chức Linux Kernel, theo thông báo bảo mật trên trang web. Những kẻ tấn công đã sử dụng một Trojan để làm tổn thương các máy chủ vào ngày 12 tháng Tám, theo một email từ John "Warthog9" Hawley, quản trị chính của kernel.org. Email đã được gửi cho các nhà phát triển và được đăng trên trang web Pastebin.“Sớm ngày hôm nay người ta đã phát hiện ra một trojan tồn tại trên máy Colo cá nhân HPA, cũng như server nguồn Hera”, email cho biết. HPA đề cập đến nhà nhân phát triển H. Peter Anvin. Các hộp kernel.org khác đã được phát hiện là bị ảnh hưởng bởi cùng một Trojan. Các tập tin Trojan được đưa vào các kịch bản khởi động trên máy chủ bị nhiễm để nó sẽ thực thi bất cứ khi nào máy được bắt đầu.
Những nhà quản trị trang web có các máy chủ bị tổn đang tạo ra bản sao lưu cũng như cài đặt lại hệ thống, theo thông báo trên trang web. Và công cuộc điều tra vẫn đang tiếp diễn.
Những kẻ xâm nhập dường như đã đạt được truy cập gốc vào một trong các máy chủ sử dụng một chứng chỉ người dùng bị xâm nhập. Người ta vẫn chưa biết làm thế nào mà những kẻ tấn công có thể khai thác các thông tin, theo thông báo bảo mật.
Mặc dù những kẻ xâm nhập có thể làm tổn thương các máy chủ của kernel.org nhưng họ không thể phá các mã của Linux kernel, Jonathan Corbet, một nhà phát triển kernel, đã viết trên Linux.com. Hiện có hàng ngàn bản sao của các mã nguồn kernel nằm trên các máy phát triển trên khắp thế giới, và nếu ai đó cố gắng kiểm tra các mã bị hỏng hoặc sửa đổi thì những thay đổi sẽ được đánh dấu bằng một hệ thống điều khiển phân tán sửa đổi được gọi là "git", Corbet cho biết. Hệ thống Git tính toán một SHA-1 mã hóa an toàn cho gần 40.000 tập tin của Linux kernel. Tên của mỗi phiên bản của kernel phụ thuộc vào lịch sử phát triển hoàn chỉnh dẫn đến phiên bản đó, và một khi nó được công bố, nó không thể thay đổi các phiên bản cũ mà không bị phát hiện. Theo thông báo bảo mật của trang web, bất kỳ thay đổi mã nguồn nào cũng sẽ được nhận thấy bởi bất cứ ai cập nhật bản sao của mã cá nhân của họ.
Theo Corbet, Kernel.org "chỉ là một điểm phân phối" và không có phát triển thực tế nào xảy ra trên máy chủ.Jon Oberheide, một trong các nhà nghiên cứu bảo mật của Linux cho biết Trojan xuất hiện như là một rootkit, được gọi là Phalanx. Các biến thể Phalanx đã tấn công vào các hệ thống nhạy cảm của Linux trước khi ăn cắp mã khóa Secure Shell (SSH) để truy cập vào máy chủ và khai thác lỗ hổng nhân Linux kernel.Theo Oberheide, những kẻ tấn công không có khả năng sử dụng một rootkit "off-the-shelf" như Phalanx trong một cuộc tấn công tinh vi.
Loại tấn công này đã xảy ra trước đó, ví dụ, các cuộc tấn công vào tháng một đã làm tổn hại các máy chủ được sử dụng bởi dự án Fedora, phiên bản cộng đồng của Red Hat Enterprise Linux. Vào khoảng thời gian đó, SourceForge đã bị tấn công, và đã có các cuộc tấn công khác nhau trên trang web Apache.
Minh Phượng