Aparentemente, o incidente foi descoberto no final da última semana, O serviço de hospedagem disse que, de início, havia detectado a presença de uma backdoor em um de seus servidores de monitoramento Nagios. Investigações subsequentes revelaram que a interface de gerenciamento Robot para servidores dedicados também havia sido comprometida, e que os invasores tinham acessado os dados dos clientes que lá estavam armazenados.
Martin Hetzner, fundador da companhia, informou a equipe de segurança do heise que "que ainda nção é tecnicamente possível de se estabelecer" quantos clientes foram afetados. A base de dados Robot mantém informações de pagamento como os detalhes bancários de seus clientes que efetuam pagamento diretamente via sistema de débito. O serviço de hospedagem também disse que, mesmo sabendo que seus dados são criptografados de forma assimétrica, não pode ser excluído a essa altura da situação que as chaves privadas que são necessárias para o processo de de-criptografia também foram copiadas pelos invasores. Os atacantes também foram capazes de acessar os dados dos cartões de crédito dos clientes da Hetzner (os últimos três dígitos dos números dos cartões de crédito, a data de expiração e o tipo de cartão), assim como as hashes das senhas criptografadas com o sistema de salt SHA256.
Ainda de acordo com Hetzner, os atacantes apresentaram um nível unusual muito elevado de sofisticação: aparentemente, eles utilizaram um rootkit desconhecido que nçao toca nos arquivos gravados em disco. "Ao invés disso, ele efetua patches de processos que já estão rodando no sistema e injeta seu código malicioso diretamente na imagem do processo-alvo", explicou Martin Hetzner. O executivo disse que o rootkit manipula perfeitamente o daemon OpenSSH e o Apache diretamente da memória RAM, aparentemente sem a necessidade de reiniciar esses serviços. Ainda de acordo com Hetzner, o rootkit também parece ser capaz de manipular o ProFTPD. O número de incidentes relatados durante o qual os atacantes manipulavam os daemons de programas importantes está aumentando. O que parece ser uma nova abordagem é que a manipulação foi efetuada exclusivamente na memória RAM.
Martin Hetzner também disse que as informações correntes sugerem que as instâncias manipuladas do Apache não foram utilizadas apra implementar o malware. Ainda não está claro quem está por detrás desse ataque, ou como os crackers invadiram o servidor. A empresa de hospedagem disse que o BKA (German Federal Criminal Police Office), que é a polícia federal Alemã, já foi informada do caso.
Saiba Mais:
- Heise Online: Hetzner web hosting service hacked, customer data copied (em Inglês)