Опасения по поводу программы-вымогателя Linux PPA не имеют под собой оснований

Истерия в интернете заразительна. Беспокойство одного человека становится убеждением другого, и это убеждение укореняется — острые ощущения от праведного гнева вызывают привыкание! На этой неделе в сети появились заявления о том, что PPA используется для распространения программ-вымогателей для Linux, которые разлетелись по сети — но правда ли это?

История немного затянута и суховата, но суть такова:

Пользователь сообщил, что пытался установить WinBoat (https://www.winboat.app/) (инструмент для запуска приложений Windows в Linux), но он не подключался к FreeRDP. Тогда они попробовали установить FreeRDP из других источников, но безуспешно. Затем они увидели комментарий на GitHub о пользовательском PPA FreeRDP.

Мы добавили случайный PPA, и вуаля: всё заработало.

На тот момент не было никаких признаков программы-вымогателя, зашифрованных домашних каталогов или чего-то ещё подозрительного.

Они начали устанавливать Windows в WinBoat, а затем оставили компьютер без присмотра примерно на сутки. Вернувшись к компьютеру (которым за это время никто не пользовался), они обнаружили, что их домашний каталог зашифрован, а система «заражена программой-вымогателем».

Они пришли к выводу, что виноват PPA: https://www.reddit.com/r/linux4noobs/comments/1op33pa/ransomware_help/?utm_source=share&utm_medium=web3x&utm_name=web3xcss&utm_term=1&utm_content=share_button.

Они обратились к Reddit, чтобы предупредить людей о версии FreeRDP в этом PPA. После этого за дело взялся онлайн- Outrage Industrial Complex®, и без особых на то оснований PPA был объявлен злодеем, а паника распространилась.

Компания Canonical была проинформирована и удалила соответствующий PPA (но не раньше, чем несколько человек скачали его содержимое), а аккаунт человека, который поддерживает эти пакеты, был заблокирован на GitHub и, судя по всему, был быстро удалён.

Неприятная новость

Предположение не является доказательством. Хотя программы-вымогатели для Linux существуют (https://www.cisa.gov/known-exploited-vulnerabilities-catalog?field_cve=CVE-2024-1086), они встречаются редко. Если бы PPA действительно использовался для их распространения, это было бы не только тревожным, но и новым явлением. Естественно, более здравомыслящие пользователи сети проявили любопытство и захотели узнать больше.

Что это за программа-вымогатель, насколько она сложна (или нет), есть ли какие-то признаки того, кто за ней стоит, с какими серверами она взаимодействует и откуда она взялась, и так далее.

Поскольку автор вопроса (который залил свою систему) не предоставил подробной информации, некоторые люди, обеспокоенные этой идеей, решили (или это должно быть DEB-решение?) сделать очевидное и действительно изучить содержимое пакетов в PPA.

И они нашли…

Ничего.

Один из них сообщил: «Я изучил двоичный файл и некоторые библиотеки, которые он использует, и не обнаружил ничего подозрительного. Никаких странных файлов, ничего интересного. Я также не могу найти полезную нагрузку».

То же самое с другими (https://www.reddit.com/r/linux4noobs/comments/1op33pa/comment/nnaoq8e/), которые изучали файлы.

Неужели нельзя было обвинить в чем-то более очевидном?

Эмоции на водительском сиденье

Мы не будем лгать: обнаружение вашего компьютера с Linux в неожиданном состоянии вызывает беспокойство. Беспокойство, паника и желание предупредить других понятны. Когда дело доходит до безопасности, повышенная чувствительность простительна.

Но очевидно, что потребность в доказательствах должна быть первостепенной и не должна уступать место эмоциям.

Учитывая, что заражённая «настройка» предполагает запуск полной копии Windows — рассадника вредоносного ПО — в качестве виртуальной машины внутри контейнера Docker, доступ к которому осуществляется через FreeRDP, а затем он «интегрируется» в рабочий стол Linux, можно ли считать PPA наиболее вероятным источником проблемы?

Некоторые предполагают, что в этом может быть виноват Makop — вредоносное ПО, нацеленное на RDP и предназначенное для Windows. Другие отмечают, что из-за особенностей интеграции WinBoat с Linux вредоносное ПО для Windows может шифровать системные папки Linux.

Кроме того, WinBoat предназначен для загрузки пакетов с удалённых серверов, которые часто загружаются с зеркал, для поддержки возможностей запуска приложений Windows. Вполне логично предположить, что этот маршрут мог быть скомпрометирован.

Паника закончилась?

Первоначальный автор с тех пор заявил, что «заражение произошло не сразу после компиляции или запуска WinBoat или FreeRDP» и что «точная точка входа остаётся неясной».

Они также заявили, что не собирались «устраивать охоту на ведьм», и публично извинились перед разработчиком, чей аккаунт на GitHub был заблокирован из-за скандала. PPA-репозиторий Canonical? Он по-прежнему недоступен, пока инженеры проверяют его содержимое.

Будет интересно посмотреть, что они найдут — если вообще что-то найдут.

Что нас беспокоит? Быстрота, с которой это разрослось, и то, что аккаунты разработчиков и страницы проектов были якобы¹ заблокированы.

Такая степень возмущения может быть использована в качестве оружия. Учитывая, что многие критически важные проекты с открытым исходным кодом (которые обеспечивают работу крупной инфраструктуры) зависят исключительно от одного разработчика, который делает это ради любви к своему делу, это вызывает беспокойство.

1. Аккаунт на GitHub, который, как сообщалось, был заблокирован и за который автор извинился за то, что непреднамеренно способствовал его блокировке, на самом деле всё ещё активен, так что… Может быть, это действительно станет трендом на Reddit и окажется своего рода метазаговором двух разработчиков. ↩︎

Редактор: AndreyEx