Внимание: некоторые загрузки Fosshub скомпрометированы
Некоторые программы на Fosshub, бесплатном хостинге проектов, похоже, скомпрометированы и обслуживают вредоносные программы.
Fosshub — это популярный сервис файлового хостинга, который в качестве основного сервиса загрузки файлов используют такие программные проекты, как Classic Shell, qBittorrent, Audacity, MKVToolNix и другие.
По сути, эти проекты ссылаются либо непосредственно на скачивание файлов, размещенных на Fosshub, либо на страницу загрузки своих программ на Fosshub.
Тема, начатая 2 августа на форуме Classic Shell новым пользователем, показала, что компьютер пользователя больше не будет загружать Windows после установки приложения.
Отображаемое сообщение гласит:
Когда вы перезагружаетесь, вы обнаруживаете, что что-то переписало ваш MBR!
ЭТО ПЛОХО, ЧТО ВАШИ ПРИКЛЮЧЕНИЯ ЗАВЕРШИЛИ ЗДЕСЬ!
НАПРАВЛЯЙТЕ ВСЕ НЕНАВИСТЬ В ПЕГЛЕКРЕУ (@CULTOFRAZER ON TWITTER)
Другие пользователи ответили, что у них тоже есть проблемы. Вредоносная программа, включенная в установщик программного обеспечения, перезаписывает основную загрузочную запись операционной системы. Системы больше не будут загружаться из-за этого.
Пользователи Windows могут исправить проблему, используя диск восстановления Windows, стороннее решение, такое как TestDisk, или резервные копии, если они были созданы ранее.
Если вы можете загрузиться в режиме восстановления, запуск команд bootrec / fixmbr, bootrec / fixboot и bootrec / rebuildbcd также может решить проблему.
Похоже, что полезная нагрузка будет перезаписывать только основную загрузочную запись операционной системы. Хотя это все еще неприятно, это лучше, чем иметь дело с вредоносными программами, которые шифруют, удаляют, крадут или изменяют данные на ПК.
Настоятельно рекомендуется избегать загрузки файлов из Fosshub, пока проблема не будет исправлена с их стороны. Похоже, что по крайней мере некоторые файлы все еще заражены на момент написания.
Большинство проектов поддерживают загрузочные зеркала, которые вы можете использовать вместо этого. По-прежнему рекомендуется проверять загрузки на Virustotal, прежде чем выполнять их, чтобы быть на всякий случай.
В результате взлома известного opensource-хостинга были заражены дистрибутивы Audacity, Classic Shell и другие
2 августа был взломан сайт FOSShub. Это бесплатный хостинг, на котором разработчики свободного и открытого ПО размещают свои приложения. Самые известные продукты, которые пользователи скачивают с FOSShub, – это Audacity и Classic Shell. Они набрали 25 миллионов и 15 миллионов загрузок соответственно.
После взлома сайт некоторое время распространял зараженные вирусом версии приложений. Злоумышленники модифицировали их исходный код и загрузили на сервер FOSShub. Установщики (для Windows) программ ClassicShell, qBittorent, Audacity и, возможно, некоторых других были заменены на троян, который затирает MBR, оставляя сообщение от хакерской группы PeggleCrew.
После установки зараженного софта и перезагрузки компьютера операционная система переставала загружаться.
Главная загрузочная запись (англ. master boot record, MBR) — код и данные, необходимые для последующей загрузки операционной системы и расположенные в первых физических секторах (чаще всего в самом первом) на жёстком диске или другом устройстве хранения информации.
Зараженный дистрибутив звукового редактора Audacity версии 2.1.2 был доступен для скачивания на FOSShub в течение 3 часов. После этого администраторы заметили проблему и устранили ее.
Audacity – свободный многоплатформенный аудиоредактор звуковых файлов, ориентированный на работу с несколькими дорожками. Программа была выпущена и распространяется на условиях GNU General Public License. Работает под управлением операционных систем: Microsoft Windows, Linux, Mac OS X, FreeBSD и других.
Пользователям Classic Shell повезло меньше: модифицированный софт успели скачать около 300 человек.
Classic Shell – бесплатный набор утилит с открытым исходным кодом (до версии 3.6.8) для возвращения прежнего вида интерфейса в Windows Vista и выше. Состоит из трех компонентов: Classic Start Menu — позволяет вернуть прежнее меню «Пуск», Classic Explorer — добавляет в Проводник Windows панель инструментов, и Classic IE9 — позволяет настраивать панели в браузере Internet Explorer. Работает как отдельное приложение и не меняет системные настройки.
Для того, чтобы дополнительно обезопасить пользователей, разработчики Classic Shell подготовили инструкцию о том, как проверить операционную систему на предмет заражения. Кроме того, они опубликовали способы решения проблемы в случае, если компьютер заражен и уже перезагружен.
Считается, что на данный момент, 4 августа, все взломанные версии приложений удалены с сайта FOSShub.
Ранее команда PeggleCrew взломала аккаунты Ринго Стар в Twitter, а также НФЛ (Национальная Футбольная лига). От лица лиги они опубликовали ложную информацию о смерти комиссара НФЛ Роджера Гуделла.
Бесплатный хостинг для софта FossHub заразили малварью, изменяющей MBR
Рекомендуем почитать:
Xakep #295. Приемы рыбалки
- Содержание выпуска
- Подписка на «Хакер» -60%
На прошлой неделе бесплатный хостинг для программ Fosshub был скомпрометирован хакерами из команды Peggle Crew. Взломщики подменили установщики популярных приложений Audacity и Classic Shell малварью, затирающей MBR. Хакеры рассказали, как и зачем они это сделали.
В качестве цели для атаки взломщики выбрали наиболее популярные программы, размещенные на FossHub.com и Oldfoss.com. Так, аудиоредактор Audаcity суммарно насчитывал 25 млн загрузок, а опенсорсная утилита для настойки Windows, Classic Shell, насчитывала почти 15 млн загрузок. Для обоих проектов FossHub был официальным «домом».
Хакеры подменили инсталляторы обеих программ самописной малварью, похожей на вирусы, которые были в ходу в 90-е годы. Вредонос перезаписывал Master Boot Record (MBR) жертвы, так что при следующем запуске компьютера система не загружалась. Вместо этого пострадавший пользователь видел сообщение: «После перезагрузки вы обнаруживаете, что что-то перезаписало ваш MBR! Жаль, что ваше приключения обрывалось здесь! Всю ненависть можно направить Pegglecrew (@cultofrazer в Twitter)».
Подмену довольно быстро обнаружили. Согласно официальному сообщению разработчиков Audacity, вредоносная версия программы провисела на сайте около трех часов. Также представители Audacity писали, что хакеры, очевидно, сумели заполучить на руки пароль одного из разработчиков и воспользовались им для загрузки малвари. Администрация FossHub подтверждает, что вредоносные инсталляторы успели скачать несколько сотен человек (порядка 300).
«Мы заметили, что атакующие получили доступ к FTP-аккаунту, и решили немедленно отключить главный сервер, чтобы остановить дальнейшее распространение инфекции и угрозу, — в свою очередь, рассказали разработчики Classic Shell. — Атакующие попытались получить доступ к DNSMadeEasy (наш DNS провайдер), к CloudFlare, личным письмам, CDN сервисами и так далее. Но login-логи показывают, что все их попытки были неудачны».
«Я хотел бы сказать, что мы извиняемся, но было бы ложью не признать, что этот день стал худшим днем лично моей жизни и худшим днем для всей команды FossHub. После этого инцидента у нас изменилось все. Я очень разочарован, что после всех наших усилий по построению образа самого чистого сайта в сети, мы пришли к этому», — пишет представитель FossHub, Сэм, в официальном обращении к пользователям.
В результате атаки Audacity была заменена на хостинге на версию 2.1.2, а аккаунт разработчиков был отключен. Classic Shell опубликовали инструкцию для пользователей, подробно описывающую, как проверить свой компьютер на предмет заражения (если он еще не был перезагружен) и как бороться с малварью, если таковая найдется.
Хакеры Peggle Crew не стали отмалчиваться. Они рассказали журналистам The Register, что атаку они осуществили просто ради развлечения, желая привлечь к себе внимание. На написание малвари, по их словам, они потратили всего «день или около того».
«Точка проникновения была настолько очевидной, что это был вопрос времени, пока ее не обнаружат авторы какого-нибудь шифровальщика (как это было с Transmission), а мы этого не хотели», — говорят хакеры.
По заявлениям злоумышленников, они скомпрометировали сам FossHub, а не разработчиков приложений. Хакеры говорят, что еще в июле 2016 года они обнаружили некий сетевой сервис, который был открыт для доступа из интернета, без всякой аутентификации. Через эту брешь злоумышленники сумели собрать все пароли и данные, необходимые им для более глубокого внедрения в FossHub. В итоге хакеры добрались до продакшен-машин, бэкапов и зеркал сайта, сумели перехватить учетные данные для FTP кеш-сервиса и так далее. У себя в твиттере хакеры пишут, что они полностью скомпрометировали сайт, включая email-адреса администраторов.
Рассказ взломщиков объясняет, почему после первичной ликвидации угрозы, когда установщики Audacity и Classic Shell уже были заменены на нормальные, FossHub все равно ушел в оффлайн на несколько часов.
«После первой волны, когда администраторы уже пофиксили исполняемые файлы и заблокировали аккаунты разработчиков, попавших под подозрение, мы заменили все исполняемые файлы на зеркалах оригинальной версией нашего MBR, использовав похищенные данные от FTP», — рассказали хакеры.
Версию хакеров подтверждает и вернувшийся в онлайн FossHub. Пока ресурс был в оффлайне, администрация сайта устранила брешь и описала на Reddit подробности инцидента.
«Мы уже довольно давно в деле, так что вы слышите о нас не в последний раз, — заявляют Peggle Crew. — Если только очень злой парень в твиттере, который пообещал найти нас и убить, не преуспеет».
Взлом сервера Fosshub и замена установщиков популярных программ на затирающий MBR троян
2 августа был взломан сайт Fosshub и установщики (для Windows) программ ClassicShell, qBittorent, Audacity и, возможно, некоторых других были заменены на троян, который затирает MBR, оставляя сообщение от хакерской группы PeggleCrew.
Ещё вчера автор новости наткнулся на Fosshub на поддельный установщик qBittorent для Windows, так что рекомендуется пока не использовать Fosshub для загрузок.
Информацию по восстановлению можно найди здесь и здесь.
Falcon-peregrinus ★★★★★
04.08.16 09:09:29 MSK
← 1 2 3 →
fcx ★★★
( 04.08.16 09:10:52 MSK )
Какой-то странный троян. Да и зачем? Ладно бы пароль от втентакля тырил.
WereFox ★☆
( 04.08.16 09:14:20 MSK )
Недоработали ребята. Нужен троянец, который винду на ubuntu меняет.
devl547 ★★★★★
( 04.08.16 09:17:10 MSK )
а debian-installer.exe он не запускает?
так что рекомендуется пока не использовать Fosshub для загрузок.
так и сделаю. учитывая, что понятия не имею, что это, и услышал это слово впервые
buratino ★★★★★
( 04.08.16 09:21:36 MSK )
Ответ на: комментарий от devl547 04.08.16 09:17:10 MSK
троянец, который винду на ubuntu меняет
И чем это лучше затирания MBR?
Stahl ★★☆
( 04.08.16 09:22:59 MSK )
кстати, поделитесь кто-нибудь затрояненным файликом
buratino ★★★★★
( 04.08.16 09:23:22 MSK )
theNamelessOne ★★★★★
( 04.08.16 09:29:57 MSK )
В венде уже лет 10 mbr по остаточному принципу и практически не используется. Ну по-крайней мере софт оттуда руками обновляется, а не автоматом. Давайте я для разнообразия вспомню как зеркала убунты похакали, это куда более печальная ситуация была.
anonymous
( 04.08.16 09:34:10 MSK )
Несмотря на многолетнее использование qBittorent, первый раз слышу о Fosshub. Это вообще кто такие?
WARNING ★★★★
( 04.08.16 09:34:54 MSK )
Ответ на: комментарий от buratino 04.08.16 09:21:36 MSK
так и сделаю. учитывая, что понятия не имею, что это, и услышал это слово впервые
Я тоже. Мне кажется, многие только сегодня его и узнали. 🙂
ssh2 ★★★★
( 04.08.16 09:35:24 MSK )
Сделано just 4 fun. Порадовал твит хакера:
In subsequent tweets, the hacker said that they tried to insert an EFI payload (rootkit) but failed, and since it was only a joke for him, they later gave up.
conformist ★★★
( 04.08.16 09:36:57 MSK )
Ответ на: комментарий от WARNING 04.08.16 09:34:54 MSK
Filehippo заточенный на свободный софт, и без автоматического апдейтера.
anonymous
( 04.08.16 09:37:20 MSK )
Ломающие новости: в венде с установщиком к тебе может попасть какая-то дрянь.
fenris ★★★★★
( 04.08.16 09:37:36 MSK )
Респект им за это. А то все шифровальщики да ботнеты.
KillTheCat ★★★★★
( 04.08.16 09:45:15 MSK )
2 августа был взломан сайт Fosshub
Это пиар. Они сами себя взломали. (шутка)
xSudo ★★★
( 04.08.16 09:45:51 MSK )
Есть же репозитории
Reedych ★☆
( 04.08.16 09:50:43 MSK )
Ответ на: комментарий от xSudo 04.08.16 09:45:51 MSK
А кому это надо взламывать?
Reedych ★☆
( 04.08.16 09:51:10 MSK )
Ответ на: комментарий от Reedych 04.08.16 09:50:43 MSK
В винде с репозиториями плохо.
theNamelessOne ★★★★★
( 04.08.16 09:52:49 MSK )
Ответ на: комментарий от theNamelessOne 04.08.16 09:52:49 MSK
Если там нет реп, то есть одно решение: не использовать венду никогда в жизни.
Reedych ★☆
( 04.08.16 09:53:37 MSK )
Это аналог pornhub?
Reedych ★☆
( 04.08.16 09:55:41 MSK )
Акт возмездия на новости с затиранием «пустых» разделов в Windows 10?
unixnik ★★★★★
( 04.08.16 09:57:47 MSK )
Ответ на: комментарий от Reedych 04.08.16 09:53:37 MSK
Лучше пользоваться всякими линуксами и получать вирусы прямо в процессе планового обновления по крону. 10/10
anonymous
( 04.08.16 09:58:50 MSK )
Ответ на: комментарий от Reedych 04.08.16 09:53:37 MSK
В который раз убеждаюсь, что это единственно правильное решение.
curufinwe ★★★★★
( 04.08.16 10:01:45 MSK )
Вот что странно:
Use a second authentication factor when possible, preferably not using SMS text messaging, as it was recently deemed unsafe (as those in the telecommunications community already knew).
Никто не знает о чем идет речь? я про небезопасность смс, понятно что там тухлый протокол и вообще симка_по_доверенности, но я подозреваю что речь о чем-то ином.
Deleted
( 04.08.16 10:10:14 MSK )
Ответ на: комментарий от Reedych 04.08.16 09:51:10 MSK
Ну как, вот у тебя есть неизвестный продукт, тебе нужна известность, как бесплатно себя пропиарить? По чёрному конечно. Взломал сам себя, рассказал, и понеслась новость.
xSudo ★★★
( 04.08.16 10:16:06 MSK )
Радует, что остались еще идейные ребята, которым не нужно бабло.
stave ★★★★★
( 04.08.16 10:17:16 MSK )
Ответ на: комментарий от buratino 04.08.16 09:23:22 MSK
это говно затёрло таблицы, загрузился с лайва и тестдиском вернул за минуту всё как было, ставил на вин10 классикшелл, злостные шутники короче, ну и примера с сайтом линуксминта всем хватило наверное чтобы не держать сайты без шифрования
/инстоллер классикшелла где-то валяется
amorpher ★★★★★
( 04.08.16 10:20:01 MSK )
Ответ на: комментарий от WARNING 04.08.16 09:34:54 MSK
это для виндузятников, у них же нет реп как понятия даже
amorpher ★★★★★
( 04.08.16 10:23:47 MSK )
Ответ на: комментарий от stave 04.08.16 10:17:16 MSK
они руткит хотели воткнуть, но не осилил. а вообще судя по всему они не хакеры а скрипкидди:
«In short, a network service with no authentication was exposed to the internet,» the hacker told Softpedia in an email. «We were able to grab data from this network service to obtain source code and passwords that led us further into the infrastructure
которые нашли пароль утекший в гитхаб, например
Deleted
( 04.08.16 10:26:29 MSK )
Последнее исправление: Deleted 04.08.16 10:27:01 MSK (всего исправлений: 1)
а это что, новость на главной?? лол