2011年8月28日、Linuxコミュニティは、kernel.orgがハッキングされたこと、Linuxカーネルソースコードを配布するためのメインサーバー、カーネルリポジトリのメインホスティングサイト、およびさまざまなLinuxディストリビューションを知って少しショックを受けました。 kernel.orgで、 17日間検出されないルートアクセストロイの木馬が発見されました 。 X Windowがインストールされていないマシンの
Xnest /dev/mem
エラーメッセージが原因で発見されました。
トロイの木馬は、kernel.orgサーバー上のパスワードを記録し、ユーザーアクションを記録し、ルートアクセスを提供し、ソフトウェアを変更しました。
kernel.orgシステム管理者は 、ssh関連ファイル(openssh、openssh-server、openssh-clients)が変更され、トロイの木馬ダウンローダーが標準の
rc3.d
サービス読み込みスクリプトに追加されたと
rc3.d
ました。 kernel.orgとgit.kernel.orgのサイトは35日間オフラインになりました 。
サーバーがクリーンアップされ、ソフトウェアが再インストールされました。 その後のみ、リポジトリへのアクセスを許可しました。
しばらくして、ユーザーパスワードを含むユーザー資格情報の漏洩によるLinuxFoundation.orgおよびLinux.com Webサイトのハッキングについても知られるようになりました。 これが攻撃の最初の段階であることが示唆されました。攻撃者は、kernel.orgにルートアクセスできる開発者の1人のパスワードを認識しました。
Gitバージョン管理システムは、ソースコードの信頼性を保証します。ソースコードは、数百万人のユーザーが確認できます。 世界中の何千ものサーバーがカーネルコードのコピーを保存しています。 誰かがそれを変更しようとした場合、Gitバージョン管理システムはすぐにそれを報告します。 40,000個のカーネルファイルはすべてSHA-1で署名されており、置き換えることはできません。
オープンソースコードとそのような制御システムのおかげで、Linuxカーネルは、古いファイルに無関係のトロイの木馬を持ち込むことから確実に保護されます。 攻撃者がそのような目標を持っていた場合、彼はタスクを完了することができませんでした。 少なくとも操作のこの段階では。 開発者のコンピューターにトロイの木馬を広めた後、彼が次に何をするつもりだったかは正確にはわかりません。 誰が知っていますか、おそらく彼はLinus Torvaldsのコンピューターからトロイの木馬でコミットを開始したかったのでしょうか?
何らかの方法ですが、攻撃者の手書きは、より高度なツールを備えた特別なサービス方法とは異なり、フォーラムでパスワードを盗む必要はありません。 このバージョンは除外されませんでしたが。
Kernel.orgは、少数のマイナーサービスを除き、2011年11月までにオンラインに戻りました。 FBIエージェントの参加による事件の調査は数年続きましたが、彼らはついに攻撃者の跡を辿ることができました。
2016年9月1日、米国司法省は、Linux Kernel OrganizationとLinux Foundationが所有するコンピューターを違法に侵入した疑いで南フロリダのプログラマーを逮捕することを発表したプレスリリースを発行しました。
容疑者-27歳のドナルドライアンオースティン-は、2016年8月28日にマイアミショアーズの村の警察官に拘束され、道路で車を止めました。 逮捕状は6月23日に発行され、容疑者の逮捕後に機密解除された。
フロリダの住民データベースの記録から判断すると、ドナルドライアンオースティンは1989年4月20日、自宅住所:3425 Collins AVE#518 Miami Beach FL 33140、投票者ID 116597683で生まれました。
オースティンのアパートは海岸から300メートルです。 マンションの写真は、完成中の2015年6月に撮影されました。
犯罪当時、この男は22歳でした。
ドナルドライアンオースティンは、 USC§1030(a)(5)(A)のセクション18に基づき、「安全なコンピューターへの意図的な損傷」の4件の事件で起訴されました。 この記事では、最大250,000ドルの罰金および/または最大10年間の懲役に加えて、負傷者への損害賠償を規定しています。 4件の場合、ドナルドは100万ドルの罰金、40年の懲役および被害者への損害を補償する請求を受け取ることがあります。
検察官は、 裁判所文書で 、プログラマーがLinux Foundationからリースされkernel.orgサイトを維持するために使用されたOdin1、Zeus1、およびPub3サーバーにEburyトロイの木馬とPhalanxルートキットをインストールしたと非難します。 マルウェアは2011年8月13日から2011年9月1日まで機能しました。 また、オースティンは、Linuxカーネル開発者のピーターアンビン(H.ピーターアンビン)の個人メールサーバーに同時に感染したとしても非難されています。
犯罪の深刻さを考えると、プログラマーは罰金で逃げることはできないと考えられます。 それでも、世界の大多数のサーバーとデスクトップコンピューターの約2%はLinuxで動作しています。
一方、kernel.orgが公開されて無料で配布されるフリーソフトウェアをホストしているため、Donaldが営利目的で非難されることはほとんどありません。
検察庁は、攻撃者の動機を判断し、攻撃者の行動を説明するために一生懸命働く必要があります。 おそらく、これらの行動には利己的な動機はありませんでした。 フォーラムは、その男が「みんなをハック」して自分の優位性を示したかったことを示唆しています。 明らかに、彼はLinuxオペレーティングシステムに無関心ではありませんでしたが、パッチを1つも送信しませんでした。 彼の名前はLinux Kernel Mailing Listにも載っていません。
逮捕後、オースティンは裁判所に連れてこられ、50,000ドルの保釈金で釈放されました。これは彼のガールフレンドの家族から支払われました 。
オースティンは、コンピューターに近づかないように、インターネット、あらゆる種類のソーシャルネットワーク、電子メールを使用しないように命じられました。 検察庁は、「実質的な虐待の歴史」が原因で、被告人が「脅威をもたらす可能性がある」と指摘しています。
彼の場合の次の聴聞会は、2016年9月21日午前9時30分、サンフランシスコの裁判所で予定されています。