Verso le 6:00 di lunedì 17 agosto, il team di sviluppo del progetto LibRetro ha subito un attacco da parte di un hacker non identificato, risultato nella compromissione dell’infrastruttura principale dove erano preservati i progetti del team.
Obiettivo dell’attacco è stato il profilo GitHub del progetto, il quale si è visto cancellare in poche ore 3 delle 9 pagine di repositories pubblicate, in seguito alla compromissione di un account appartenente al team di sviluppo. Secondo il changelog, il membro dell’organizzazione avrebbe forzato il caricamento di un commit totalmente vuoto sulla maggior parte dei progetti, risultando così nella sovrascrittura di numerosi asset.
Si sospetta che questo account abbia subito un furto di credenziali potenzialmente favorito dall’assenza di doppio fattore di autenticazione (2FA).
2 Factor authentication was enabled on most accounts but some felt it was too much of a pain to force so we left it open-ended for now so as not to lose these contributors. After this though, it's highly unlikely we'll do that again.
— libretro (@libretro) August 16, 2020
Successivamente, è stato preso di mira anche il loro server Buildbot, compromettendo irreparabilmente le release stabili e ad accesso anticipato dei progetti.
Il team ha immediatamente bloccato la possibilità di aggiornare i core Libretro, impedendo così agli utenti di danneggiare eventualmente i sistemi.
Il team ha giustamente sottolineato che, essendosi trattato di una cancellazione dei file, la sicurezza delle librerie non è stata in alcun modo compromessa, pertanto eventuali aggiornamenti o installazioni attuali sono da reputare sicuri.
Ovviamente, trattandosi di un progetto indipendente e fortemente supportato dalla sola comunità di utenti, la vicinanza al team di sviluppo non si è fatta attendere.
In light of the @libretro hack today, I have doubled my monthly Patreon pledge. The team have given so much to the retro gaming community, they deserve all the support we can muster.
— Dan Tootill (@dantootill) August 16, 2020
what kinda person you gatta be to want to hack libretro :(
— Norrin (@norris3942) August 16, 2020
Il motivo
Tra gli utenti è saltato fuori il sospetto che qualche purista del retrogaming su console possa essersi sentito in bisogno di proteggere i suoi ideali in questo modo…
Or a crazy classic console purist. But I don't know man, I understand when someone hacks for some crazy Bitcoin scheme, but for libretro? Crazy things.
— イヴァン (@Trizousand) August 16, 2020
Le teorie non si sono fermate: qualcuno ha ipotizzato che il responsabile potesse essere un membro del team che avrebbe agito in virtù di conflitti personali o ideologici all’interno del gruppo.
L’attaccante
Non si hanno informazioni né rivendicazioni di questo attacco. L’unica informazione che il team è riuscito ad ottenere è un indirizzo IP appartenente alla rete Amazon AWS, 54.167.104.253.
Su diverse fonti OSINT non risultano attività pregresse associate a questo indirizzo, perciò la strada per una investigazione porta ad un apparente binario morto.
GitHub non ha collaborato 🙁
Stando a quanto riportato dal team su Twitter, la piattaforma GitHub non sarebbe stata in grado di fare il rollback delle repositories, lasciando i ragazzi in balia di un ripristino interamente manuale.
Github has told us that they are not able to restore our repositories - "I'm sorry to say that we aren't able to restore a branch or repository to its previous state on our end." So we will have to do it manually.
— libretro (@libretro) August 17, 2020
Tutto è bene quel che finisce bene
Sembra che attualmente (circa 15 ore dopo l’incidente) sia tornato tutto alla normalità.
Il servizio di aggiornamento è tornato operativo, eccezion fatta per il server Buildbot, il quale è stato deciso di lasciarlo al momento in stallo.
Looks as though #libretro have restored their GitHub repositories - nice one! Hopefully nothing lost (depending how each one was restored).
— RetroPieProject (@RetroPieProject) August 17, 2020
RetroPie-Setup has a warning about the hack when launching in case there are any issues but all repos are enabled now.
