21.02.2016 | 12:35

avatar

Adam Haertle

Pobieraliście Linux Mint ISO? Uwaga na tylną furtkę

Serwis WWW jednej z najpopularniejszych desktopowych dystrybucji Linuksa, Mint, został zhakowany (i to dwukrotnie) a włamywacze podmienili linki prowadzące do obrazów ISO na złośliwe. 20 lutego nieznane osoby uzyskały kontrolę nad treściami pojawiającymi się pod adresem www.linuxmint.com i podmieniły linki prowadzące do plików ISO Linux Mint 17.3 Cinnamon. Obrazy, na które wskazywały linki, zawierają tylną furtkę umożliwiającą włamywaczom przejęcie kontroli nad komputerem, na którym zostały zainstalowane.

Serwis WWW działał pod kontrolą WordPressa a osoby nim zarządzające chyba nie poradziły sobie z jego zabezpieczeniami. Świadczy o tym fakt, że po pierwszym włamaniu prawidłowe linki zostały przywrócone, by po chwili ponownie zostać podmienione. W tej sytuacji administrator wyłączył serwer, który nadal jest niedostępny.

Linux Mint

Linux Mint

Jak rozpoznać zainfekowane instalację?

Prawidłowe sygnatury zaufanych plików to:

6e7f7e03500747c6c3bfece2c9c8394f  linuxmint-17.3-cinnamon-32bit.iso
e71a2aad8b58605e906dbea444dc4983  linuxmint-17.3-cinnamon-64bit.iso
30fef1aa1134c5f3778c77c4417f7238  linuxmint-17.3-cinnamon-nocodecs-32bit.iso
3406350a87c201cdca0927b1bc7c2ccd  linuxmint-17.3-cinnamon-nocodecs-64bit.iso
df38af96e99726bb0a1ef3e5cd47563d  linuxmint-17.3-cinnamon-oem-64bit.iso

Szkoda tylko, że to MD5 (podatne na kolizje) a treść wpisu serwowana była po HTTP. Lepsze to jednak niż nic, a sumy opublikowano także w innych serwisach i wygląda na to, że się zgadzają. Można także włączyć podejrzaną instalację bez dostępu do sieci i sprawdzić, czy zawiera plik

/var/lib/man.cy

Jeśli tak, to jest to wersja zainfekowana. Złośliwe ISO hostowane były pod adresem IP  5.104.175.212 a tylna furtka (prawdopodobnie koń trojański tsunami) łączyła się do adresu absentvodka.com. Ciekawy komentarz pojawił się także w wątku w serwisie Hacker News:

  forums.linuxmint.com pwd
  /root/hacked_distros/mint/var/www/forums.linuxmint.com
    forums.linuxmint.com cat config.php
  <?php
  // phpBB 3.0.x auto-generated configuration file
  // Do not change anything in this file!
  $dbms = 'mysql';
  $dbhost = 'localhost';
  $dbport = '';
  $dbname = 'lms14';
  $dbuser = 'lms14';
  $dbpasswd = 'upMint';

Najwyraźniej administratorzy nie mieli zwyczaju tworzenia skomplikowanych haseł.

PS. Problem miał dotyczyć tylko obrazów ISO, tylko wersji Linux Mint 17.3 Cinnamon i tylko od 20 lutego, jednak biorąc pod uwagę przebieg wydarzeń zalecamy sprawdzenie wszystkich instalacji przeprowadzanych w ciągu ostatnich kilku dni.

Aktualizacja 19:00

Tylna furtka w obrazie ISO ma znacznik czasu z 19 lutego.

Plotki głoszą, że serwis linuxmint.com został zrootowany a baza forum użytkowników skopiowana. W podziemnym sklepie TheRealDeal pojawiła się oferta sprzedaży całej bazy za 85 dolarów.

Tak wyglądały linki do fałszywych obrazów ISO:

A tak wygląda kod tylnej furtki:

Co ciekawe, infrastruktura atakujących pokrywa się z serwerami konia trojańskiego GovRAT, również sprzedawanego w tym samym podziemnym sklepie.

 

Powrót

Komentarze

  • avatar
    2016.02.21 13:06 ant_

    ma ktoś takie złośliwe iso do badań?

    Odpowiedz
  • avatar
    2016.02.21 13:36 Frida12

    Czy to jest drobiazg?
    To nalezy naglosnic, moze wiecej osob zacznie kontrolowac sumy kontrolne plikow zanim zacznie cos instalowac.

    Odpowiedz
    • avatar
      2016.02.21 14:56 Adam

      Tylko najpierw trzeba ustalić stronę z tymi prawdziwymi sumami. :)

      Odpowiedz
      • avatar
        2017.12.10 21:53 fantoro

        Niedługo trzeba będzie dawać sumy razem z sygnaturą GPG, e-mailem i serwerem kluczy.

        Odpowiedz
  • avatar
    2016.02.21 13:47 obserwator

    A gdzie są linki do torrenta Mint 17,3 xfce, nigdzie nie mogę odszukać…
    Sumy kontrolne tez bym poprosił

    Odpowiedz
  • avatar
    2016.02.21 14:29 heł

    /root/hacked_distros/?

    Odpowiedz
  • avatar
    2016.02.21 14:55 Adam

    Czyżby to był koniec powiedzenia „na wirusy, exploity, itp. najlepszy jest Linux”? :D

    Odpowiedz
    • avatar
      2016.02.21 15:25 Devoid

      Nope, nadal nie.

      Wirus/exploit a ręcznie wgrany backdoor to rzeczy których nie można porównywać. :)

      Odpowiedz
      • avatar
        2016.02.21 17:35 Adam

        Tam celowo zostawiłem „itp.” :)
        No chyba, że ktoś faktycznie ceni sobie, gdy wszystko jest preinstalowane w systemie… :)

        Odpowiedz
      • avatar
        2016.02.21 17:45 zakius

        tja, tylko teraz i na windowsie faktycznych dziur mało kto używa, zazwyczaj po prostu użyszkodnik na widok „mamy dla ciebie cudowną ofertę! dodatkowe 3 malware gratis!” od razu klika „dawaj mi je szybko, uwielbiam gratisy!”

        Odpowiedz
  • avatar
    2016.02.21 15:29 Bulgot

    Dlatego oprócz sum kontrolnych powinni dać też plik z sygnaturą PGP ( jak większość porządnych dystrybucji ).

    Odpowiedz
    • avatar
      2016.02.21 17:33 luke345

      właśnie… dodatkowo trzeba ludzi uświadomić jak z tego korzystać…

      Odpowiedz
  • avatar
    2016.02.21 15:47 normand

    Ten plik można też sprawdzić na Windows programem 7zip otwierając nim ISO

    Odpowiedz
  • avatar
    2016.02.21 17:15 MarkF

    Mam linuxmint-17.3-cinnamon-64bit.iso z 17 grudnia 2015. Zgadza się MD5 ale łatwo zrobić kolizję, nie rozumiem dlaczego takie serwisy nie wiedzą o tak podstawowych aspektach. Takie pliki powinni podpisywać cyfrowo a sumy być przynajmniej w SHA1 (dla porównania Virustotal operuje na SHA256) do tego hasło, ale najlepiej byłoby pomijać WordPressa dla strony z pobieraniem i stosować tam statyczną stronę w HTML. Z tym ostatnim może przesadzam, ale to w końcu ISO całego systemu operacyjnego.

    Odpowiedz
  • avatar
    2016.02.21 17:46 Polo

    Dla wczoraj pobranego linuxmint-17.3-cinnamon-64bit.iso wyszła mi suma kontrolna: 7d590864618866c225ede058f1ba61f0

    Więc całkiem możliwe, że 'lewizna’…
    Co ciekawe – zaraz po instalacji nie działała sieć (a dokładniej DNS), bo w systemie nie było pliku /etc/resolv.conf

    System co chwilkę mi się wiesza z nieznanych przyczyn, ale chyba właśnie dowiedziałem się jaka to przyczyna…

    Odpowiedz
  • avatar
    2016.02.21 18:10 Wieczorem

    Wczoraj wieczorem ściągałem Minta:
    – nie mam tego pliku (patrzyłem live (komendą ls -a)
    – mam taką samą sumę kontrolną E71A2AAD8B58605E906DBEA444DC4983
    mogę spać spokojnie?

    Odpowiedz
  • avatar
    2016.02.21 23:23 xyz

    linuxmint-17.3-cinnamon-64bit
    MD5: E71A2AAD8B58605E906DBEA444DC4983

    SHA256: 854D0CFAA9139A898C2A22AA505B919DDDE34F93B04A831B3F030FFE4E25A8E3

    SHA512: C1F4B1F9D06B6CBDF05D5239175871916446735BD0E2E78E2D2D51A3A18B5EBBE2E638B3BF2485246B88277EC80ACAC0FF478233C55710D55E454EF158765E1A

    Odpowiedz
  • avatar
    2016.02.22 12:57 BRUN0

    T0Z T0 K41T3N J357
    https://dl.packetstormsecurity.net/irc/kaiten.c,
    P0DP154N0 H4CK3R BRUN0

    Odpowiedz
  • avatar
    2016.02.22 17:28 Arczi

    Na
    ftp://ftp.icm.edu.pl/pub/Linux/dist/linuxmint/isos/stable/17.3/
    są sumy MD5 i SHA256.
    Jak na ironię w sobotę wieczorem pobierałem obraz właśnie z tego serwera i suma kontrolna się zgadza, po zerknięciu do iso nie widzę tego lewego pliku więc niby wszystko gra.
    Jednak niesmak pozostał. Nie wiem jak określić takiego niepoważnego ludka, który poszedł na łatwiznę z wordpressem i do tego z hasłem.
    Wielu ludzi po takim czymś oleje to distro już nie wspomnę o antyreklamie jaką sobie zafundowali. Co do sum to bez komentarza, żenada.

    Odpowiedz
  • avatar
    2016.02.25 13:36 taki sobie

    Zhakowanie wydarzyło się kilka dni temu, jak domniemam, a ja swoje minty ściągałem dobry miesiąc temu, wiec wydaję mi się że jest wszystko w porządku .

    Odpowiedz
  • avatar
    2016.02.25 14:12 buzer

    Myślę że Ci którzy pobrali w Grudniu, lub Styczniu nie będa mieli problemów. Dlatego że ów plik czy obrazy iso zostały podmienione w lutym.

    Odpowiedz

Zostaw odpowiedź

Jeśli chcesz zwrócić uwagę na literówkę lub inny błąd techniczny, zapraszamy do formularza kontaktowego. Reagujemy równie szybko.

Pobieraliście Linux Mint ISO? Uwaga na tylną furtkę

Komentarze