Serwis WWW jednej z najpopularniejszych desktopowych dystrybucji Linuksa, Mint, został zhakowany (i to dwukrotnie) a włamywacze podmienili linki prowadzące do obrazów ISO na złośliwe. 20 lutego nieznane osoby uzyskały kontrolę nad treściami pojawiającymi się pod adresem www.linuxmint.com i podmieniły linki prowadzące do plików ISO Linux Mint 17.3 Cinnamon. Obrazy, na które wskazywały linki, zawierają tylną furtkę umożliwiającą włamywaczom przejęcie kontroli nad komputerem, na którym zostały zainstalowane.
Serwis WWW działał pod kontrolą WordPressa a osoby nim zarządzające chyba nie poradziły sobie z jego zabezpieczeniami. Świadczy o tym fakt, że po pierwszym włamaniu prawidłowe linki zostały przywrócone, by po chwili ponownie zostać podmienione. W tej sytuacji administrator wyłączył serwer, który nadal jest niedostępny.
Linux Mint
Jak rozpoznać zainfekowane instalację?
Prawidłowe sygnatury zaufanych plików to:
6e7f7e03500747c6c3bfece2c9c8394f linuxmint-17.3-cinnamon-32bit.iso e71a2aad8b58605e906dbea444dc4983 linuxmint-17.3-cinnamon-64bit.iso 30fef1aa1134c5f3778c77c4417f7238 linuxmint-17.3-cinnamon-nocodecs-32bit.iso 3406350a87c201cdca0927b1bc7c2ccd linuxmint-17.3-cinnamon-nocodecs-64bit.iso df38af96e99726bb0a1ef3e5cd47563d linuxmint-17.3-cinnamon-oem-64bit.iso
Szkoda tylko, że to MD5 (podatne na kolizje) a treść wpisu serwowana była po HTTP. Lepsze to jednak niż nic, a sumy opublikowano także w innych serwisach i wygląda na to, że się zgadzają. Można także włączyć podejrzaną instalację bez dostępu do sieci i sprawdzić, czy zawiera plik
/var/lib/man.cy
Jeśli tak, to jest to wersja zainfekowana. Złośliwe ISO hostowane były pod adresem IP 5.104.175.212 a tylna furtka (prawdopodobnie koń trojański tsunami) łączyła się do adresu absentvodka.com. Ciekawy komentarz pojawił się także w wątku w serwisie Hacker News:
forums.linuxmint.com pwd
/root/hacked_distros/mint/var/www/forums.linuxmint.com
forums.linuxmint.com cat config.php
<?php
// phpBB 3.0.x auto-generated configuration file
// Do not change anything in this file!
$dbms = 'mysql';
$dbhost = 'localhost';
$dbport = '';
$dbname = 'lms14';
$dbuser = 'lms14';
$dbpasswd = 'upMint';
Najwyraźniej administratorzy nie mieli zwyczaju tworzenia skomplikowanych haseł.
PS. Problem miał dotyczyć tylko obrazów ISO, tylko wersji Linux Mint 17.3 Cinnamon i tylko od 20 lutego, jednak biorąc pod uwagę przebieg wydarzeń zalecamy sprawdzenie wszystkich instalacji przeprowadzanych w ciągu ostatnich kilku dni.
Aktualizacja 19:00
Tylna furtka w obrazie ISO ma znacznik czasu z 19 lutego.
#LinuxMint 17.3 #Cinnamon edition ISO #backdoor “man.cy” dated from 19 Feb.13:27 pic.twitter.com/2FcedEE1HY
— Eric Romang (@eromang) February 21, 2016
Plotki głoszą, że serwis linuxmint.com został zrootowany a baza forum użytkowników skopiowana. W podziemnym sklepie TheRealDeal pojawiła się oferta sprzedaży całej bazy za 85 dolarów.
#LinuxMint forum #database for sell on #darkmarket as well with 3.9 million users of #FisherPrice – “peace_of_mind” pic.twitter.com/aP1OTQFW7l
— Eric Romang (@eromang) February 21, 2016
Tak wyglądały linki do fałszywych obrazów ISO:
#LinuxMint 17.3 #Cinnamon edition #backdoor ISO download URL’s – Website comprised https://t.co/ivgRXwaCx3 pic.twitter.com/FNs11Ig5Tu
— Eric Romang (@eromang) February 21, 2016
A tak wygląda kod tylnej furtki:
#LinuxMint 17.3 #Cinnamon edition ISO #backdoor “man.cy” https://t.co/AsIcsDuDj0 https://t.co/ivgRXwaCx3 pic.twitter.com/EMYbc4L32Y
— Eric Romang (@eromang) February 21, 2016
Co ciekawe, infrastruktura atakujących pokrywa się z serwerami konia trojańskiego GovRAT, również sprzedawanego w tym samym podziemnym sklepie.
Infrastructure from the @Linux_Mint intrusion has odd overlap with #GovRAT originally reported on by @BlueCoat. pic.twitter.com/NNeRnCAISv
— RiskIQ Community (@PassiveTotal) February 21, 2016
Komentarze
ma ktoś takie złośliwe iso do badań?
Czy to jest drobiazg?
To nalezy naglosnic, moze wiecej osob zacznie kontrolowac sumy kontrolne plikow zanim zacznie cos instalowac.
Tylko najpierw trzeba ustalić stronę z tymi prawdziwymi sumami. :)
Niedługo trzeba będzie dawać sumy razem z sygnaturą GPG, e-mailem i serwerem kluczy.
A gdzie są linki do torrenta Mint 17,3 xfce, nigdzie nie mogę odszukać…
Sumy kontrolne tez bym poprosił
torrenty xfce
http://torrents.linuxmint.com/torrents/linuxmint-17.3-xfce-64bit.iso.torrent
lub http://torrents.linuxmint.com/torrents/linuxmint-17.3-xfce-32bit.iso.torrent
sumy mi zjadło: Mint 17.3 Xfce 32bit 1.3GB
Mint 17.3 Xfce 32bit.torrent
md5sum: 40a2056d20e67d6732d3fd679a6f5f0d
Mint 17.3 Xfce 64bit 1.4GB
Mint 17.3 Xfce 64bit.torrent
md5sum: 729c92e3ef247bbc12104e6c14a2b95e
Okazuje się, że pobieranie z torrentów jest najbezpieczniejszym rozwiązaniem. Te w topce gwarantują, że obrazy będą niezmodyfikowane.
http://kickassto.co/usearch/linuxmint%2017.3/
/root/hacked_distros/?
Czyżby to był koniec powiedzenia „na wirusy, exploity, itp. najlepszy jest Linux”? :D
Nope, nadal nie.
Wirus/exploit a ręcznie wgrany backdoor to rzeczy których nie można porównywać. :)
Tam celowo zostawiłem „itp.” :)
No chyba, że ktoś faktycznie ceni sobie, gdy wszystko jest preinstalowane w systemie… :)
tja, tylko teraz i na windowsie faktycznych dziur mało kto używa, zazwyczaj po prostu użyszkodnik na widok „mamy dla ciebie cudowną ofertę! dodatkowe 3 malware gratis!” od razu klika „dawaj mi je szybko, uwielbiam gratisy!”
Dlatego oprócz sum kontrolnych powinni dać też plik z sygnaturą PGP ( jak większość porządnych dystrybucji ).
właśnie… dodatkowo trzeba ludzi uświadomić jak z tego korzystać…
Ten plik można też sprawdzić na Windows programem 7zip otwierając nim ISO
Mam linuxmint-17.3-cinnamon-64bit.iso z 17 grudnia 2015. Zgadza się MD5 ale łatwo zrobić kolizję, nie rozumiem dlaczego takie serwisy nie wiedzą o tak podstawowych aspektach. Takie pliki powinni podpisywać cyfrowo a sumy być przynajmniej w SHA1 (dla porównania Virustotal operuje na SHA256) do tego hasło, ale najlepiej byłoby pomijać WordPressa dla strony z pobieraniem i stosować tam statyczną stronę w HTML. Z tym ostatnim może przesadzam, ale to w końcu ISO całego systemu operacyjnego.
Dla wczoraj pobranego linuxmint-17.3-cinnamon-64bit.iso wyszła mi suma kontrolna: 7d590864618866c225ede058f1ba61f0
Więc całkiem możliwe, że 'lewizna’…
Co ciekawe – zaraz po instalacji nie działała sieć (a dokładniej DNS), bo w systemie nie było pliku /etc/resolv.conf
System co chwilkę mi się wiesza z nieznanych przyczyn, ale chyba właśnie dowiedziałem się jaka to przyczyna…
Wczoraj wieczorem ściągałem Minta:
– nie mam tego pliku (patrzyłem live (komendą ls -a)
– mam taką samą sumę kontrolną E71A2AAD8B58605E906DBEA444DC4983
mogę spać spokojnie?
linuxmint-17.3-cinnamon-64bit
MD5: E71A2AAD8B58605E906DBEA444DC4983
SHA256: 854D0CFAA9139A898C2A22AA505B919DDDE34F93B04A831B3F030FFE4E25A8E3
SHA512: C1F4B1F9D06B6CBDF05D5239175871916446735BD0E2E78E2D2D51A3A18B5EBBE2E638B3BF2485246B88277EC80ACAC0FF478233C55710D55E454EF158765E1A
T0Z T0 K41T3N J357
https://dl.packetstormsecurity.net/irc/kaiten.c,
P0DP154N0 H4CK3R BRUN0
Na
ftp://ftp.icm.edu.pl/pub/Linux/dist/linuxmint/isos/stable/17.3/
są sumy MD5 i SHA256.
Jak na ironię w sobotę wieczorem pobierałem obraz właśnie z tego serwera i suma kontrolna się zgadza, po zerknięciu do iso nie widzę tego lewego pliku więc niby wszystko gra.
Jednak niesmak pozostał. Nie wiem jak określić takiego niepoważnego ludka, który poszedł na łatwiznę z wordpressem i do tego z hasłem.
Wielu ludzi po takim czymś oleje to distro już nie wspomnę o antyreklamie jaką sobie zafundowali. Co do sum to bez komentarza, żenada.
Zhakowanie wydarzyło się kilka dni temu, jak domniemam, a ja swoje minty ściągałem dobry miesiąc temu, wiec wydaję mi się że jest wszystko w porządku .
Myślę że Ci którzy pobrali w Grudniu, lub Styczniu nie będa mieli problemów. Dlatego że ów plik czy obrazy iso zostały podmienione w lutym.