Die Libretro-Community entwickelt einen Spielekonsolen-Emulator und Vertriebskit zum Erstellen von Spielekonsolen , über das Hacken von Projektinfrastrukturelementen und Vandalismus in Repositories. Die Angreifer konnten sich Zugriff auf den Build-Server (Buildbot) und Repositories auf GitHub verschaffen.
Auf GitHub verschafften sich Angreifer Zugang zu allen Libretro-Organisation unter Verwendung des Kontos eines der vertrauenswürdigen Projektteilnehmer. Die Aktivitäten der Angreifer beschränkten sich auf Vandalismus – sie versuchten, den Inhalt der Repositorys zu löschen, indem sie einen leeren Initial Commit platzierten. Durch den Angriff wurden alle auf drei der neun Libretro-Repository-Listenseiten auf Github aufgeführten Repositories gelöscht. Glücklicherweise konnte der Vandalismus-Akt von den Entwicklern abgewehrt werden, bevor die Angreifer das Schlüssel-Repository erreichten .
Auf dem Build-Server beschädigten die Angreifer die Dienste, die nächtliche und stabile Builds generieren, sowie diejenigen, die für die Organisation verantwortlich sind (Netplay-Lobby). Die böswilligen Aktivitäten auf dem Server beschränkten sich auf das Löschen von Inhalten. Es gab keine Versuche, Dateien zu ersetzen oder Änderungen an RetroArch-Assemblys und Hauptpaketen vorzunehmen. Derzeit ist die Arbeit von Core Installer, Core Updater und Netplay Lobbie sowie den mit diesen Komponenten verbundenen Websites und Diensten (Update Assets, Update Overlays, Update Shaders) unterbrochen.
Das Hauptproblem, mit dem das Projekt nach dem Vorfall konfrontiert war, war das Fehlen eines automatisierten Backup-Prozesses. Das letzte Backup des Buildbot-Servers wurde vor einigen Monaten erstellt. Die Probleme erklären die Entwickler mit fehlendem Geld für ein automatisiertes Backup-System aufgrund des begrenzten Budgets für die Wartung der Infrastruktur. Die Entwickler beabsichtigen nicht, den alten Server wiederherzustellen, sondern einen neuen zu starten, dessen Erstellung geplant war. In diesem Fall werden Builds für primäre Systeme wie Linux, Windows und Android sofort gestartet, die Wiederherstellung von Builds für spezialisierte Systeme wie Spielekonsolen und alte MSVC-Builds dauert jedoch einige Zeit.
Es wird davon ausgegangen, dass GitHub, an den eine entsprechende Anfrage gesendet wurde, dabei hilft, den Inhalt der bereinigten Repositories wiederherzustellen und den Angreifer zu identifizieren. Bisher wissen wir nur, dass der Hack von der IP-Adresse 54.167.104.253 aus durchgeführt wurde, also Als Zwischenpunkt nutzte der Angreifer vermutlich einen gehackten virtuellen Server in AWS. Angaben zur Penetrationsmethode werden nicht gemacht.
Source: opennet.ru