Pobieraliście Linux Mint ISO? Uwaga na tylną furtkę

dodał 21 lutego 2016 o 12:35 w kategorii Drobiazgi  z tagami:

Serwis WWW jednej z najpopularniejszych desktopowych dystrybucji Linuksa, Mint, został zhakowany (i to dwukrotnie) a włamywacze podmienili linki prowadzące do obrazów ISO na złośliwe. 20 lutego nieznane osoby uzyskały kontrolę nad treściami pojawiającymi się pod adresem www.linuxmint.com i podmieniły linki prowadzące do plików ISO Linux Mint 17.3 Cinnamon. Obrazy, na które wskazywały linki, zawierają tylną furtkę umożliwiającą włamywaczom przejęcie kontroli nad komputerem, na którym zostały zainstalowane.

Serwis WWW działał pod kontrolą WordPressa a osoby nim zarządzające chyba nie poradziły sobie z jego zabezpieczeniami. Świadczy o tym fakt, że po pierwszym włamaniu prawidłowe linki zostały przywrócone, by po chwili ponownie zostać podmienione. W tej sytuacji administrator wyłączył serwer, który nadal jest niedostępny.

Linux Mint

Linux Mint

Jak rozpoznać zainfekowane instalację?

Prawidłowe sygnatury zaufanych plików to:

Szkoda tylko, że to MD5 (podatne na kolizje) a treść wpisu serwowana była po HTTP. Lepsze to jednak niż nic, a sumy opublikowano także w innych serwisach i wygląda na to, że się zgadzają. Można także włączyć podejrzaną instalację bez dostępu do sieci i sprawdzić, czy zawiera plik

Jeśli tak, to jest to wersja zainfekowana. Złośliwe ISO hostowane były pod adresem IP  5.104.175.212 a tylna furtka (prawdopodobnie koń trojański tsunami) łączyła się do adresu absentvodka.com. Ciekawy komentarz pojawił się także w wątku w serwisie Hacker News:

Najwyraźniej administratorzy nie mieli zwyczaju tworzenia skomplikowanych haseł.

PS. Problem miał dotyczyć tylko obrazów ISO, tylko wersji Linux Mint 17.3 Cinnamon i tylko od 20 lutego, jednak biorąc pod uwagę przebieg wydarzeń zalecamy sprawdzenie wszystkich instalacji przeprowadzanych w ciągu ostatnich kilku dni.

Aktualizacja 19:00

Tylna furtka w obrazie ISO ma znacznik czasu z 19 lutego.

Plotki głoszą, że serwis linuxmint.com został zrootowany a baza forum użytkowników skopiowana. W podziemnym sklepie TheRealDeal pojawiła się oferta sprzedaży całej bazy za 85 dolarów.

Tak wyglądały linki do fałszywych obrazów ISO:

A tak wygląda kod tylnej furtki:

Co ciekawe, infrastruktura atakujących pokrywa się z serwerami konia trojańskiego GovRAT, również sprzedawanego w tym samym podziemnym sklepie.