Pobieraliście Linux Mint ISO? Uwaga na tylną furtkę

dodał 21 lutego 2016 o 12:35 w kategorii Drobiazgi  z tagami:

Serwis WWW jednej z najpopularniejszych desktopowych dystrybucji Linuksa, Mint, został zhakowany (i to dwukrotnie) a włamywacze podmienili linki prowadzące do obrazów ISO na złośliwe. 20 lutego nieznane osoby uzyskały kontrolę nad treściami pojawiającymi się pod adresem www.linuxmint.com i podmieniły linki prowadzące do plików ISO Linux Mint 17.3 Cinnamon. Obrazy, na które wskazywały linki, zawierają tylną furtkę umożliwiającą włamywaczom przejęcie kontroli nad komputerem, na którym zostały zainstalowane.

Serwis WWW działał pod kontrolą WordPressa a osoby nim zarządzające chyba nie poradziły sobie z jego zabezpieczeniami. Świadczy o tym fakt, że po pierwszym włamaniu prawidłowe linki zostały przywrócone, by po chwili ponownie zostać podmienione. W tej sytuacji administrator wyłączył serwer, który nadal jest niedostępny.

Linux Mint

Linux Mint

Jak rozpoznać zainfekowane instalację?

Prawidłowe sygnatury zaufanych plików to:

6e7f7e03500747c6c3bfece2c9c8394f  linuxmint-17.3-cinnamon-32bit.iso
e71a2aad8b58605e906dbea444dc4983  linuxmint-17.3-cinnamon-64bit.iso
30fef1aa1134c5f3778c77c4417f7238  linuxmint-17.3-cinnamon-nocodecs-32bit.iso
3406350a87c201cdca0927b1bc7c2ccd  linuxmint-17.3-cinnamon-nocodecs-64bit.iso
df38af96e99726bb0a1ef3e5cd47563d  linuxmint-17.3-cinnamon-oem-64bit.iso

Szkoda tylko, że to MD5 (podatne na kolizje) a treść wpisu serwowana była po HTTP. Lepsze to jednak niż nic, a sumy opublikowano także w innych serwisach i wygląda na to, że się zgadzają. Można także włączyć podejrzaną instalację bez dostępu do sieci i sprawdzić, czy zawiera plik

/var/lib/man.cy

Jeśli tak, to jest to wersja zainfekowana. Złośliwe ISO hostowane były pod adresem IP  5.104.175.212 a tylna furtka (prawdopodobnie koń trojański tsunami) łączyła się do adresu absentvodka.com. Ciekawy komentarz pojawił się także w wątku w serwisie Hacker News:

  forums.linuxmint.com pwd
  /root/hacked_distros/mint/var/www/forums.linuxmint.com
    forums.linuxmint.com cat config.php
  <?php
  // phpBB 3.0.x auto-generated configuration file
  // Do not change anything in this file!
  $dbms = 'mysql';
  $dbhost = 'localhost';
  $dbport = '';
  $dbname = 'lms14';
  $dbuser = 'lms14';
  $dbpasswd = 'upMint';

Najwyraźniej administratorzy nie mieli zwyczaju tworzenia skomplikowanych haseł.

PS. Problem miał dotyczyć tylko obrazów ISO, tylko wersji Linux Mint 17.3 Cinnamon i tylko od 20 lutego, jednak biorąc pod uwagę przebieg wydarzeń zalecamy sprawdzenie wszystkich instalacji przeprowadzanych w ciągu ostatnich kilku dni.

Aktualizacja 19:00

Tylna furtka w obrazie ISO ma znacznik czasu z 19 lutego.

Plotki głoszą, że serwis linuxmint.com został zrootowany a baza forum użytkowników skopiowana. W podziemnym sklepie TheRealDeal pojawiła się oferta sprzedaży całej bazy za 85 dolarów.

Tak wyglądały linki do fałszywych obrazów ISO:

A tak wygląda kod tylnej furtki:

Co ciekawe, infrastruktura atakujących pokrywa się z serwerami konia trojańskiego GovRAT, również sprzedawanego w tym samym podziemnym sklepie.