21.02.2016 | 12:35

Adam Haertle

Pobieraliście Linux Mint ISO? Uwaga na tylną furtkę

Serwis WWW jednej z najpopularniejszych desktopowych dystrybucji Linuksa, Mint, został zhakowany (i to dwukrotnie) a włamywacze podmienili linki prowadzące do obrazów ISO na złośliwe. 20 lutego nieznane osoby uzyskały kontrolę nad treściami pojawiającymi się pod adresem www.linuxmint.com i podmieniły linki prowadzące do plików ISO Linux Mint 17.3 Cinnamon. Obrazy, na które wskazywały linki, zawierają tylną furtkę umożliwiającą włamywaczom przejęcie kontroli nad komputerem, na którym zostały zainstalowane.

Serwis WWW działał pod kontrolą WordPressa a osoby nim zarządzające chyba nie poradziły sobie z jego zabezpieczeniami. Świadczy o tym fakt, że po pierwszym włamaniu prawidłowe linki zostały przywrócone, by po chwili ponownie zostać podmienione. W tej sytuacji administrator wyłączył serwer, który nadal jest niedostępny.

Linux Mint

Linux Mint

Jak rozpoznać zainfekowane instalację?

Prawidłowe sygnatury zaufanych plików to:

6e7f7e03500747c6c3bfece2c9c8394f  linuxmint-17.3-cinnamon-32bit.iso
e71a2aad8b58605e906dbea444dc4983  linuxmint-17.3-cinnamon-64bit.iso
30fef1aa1134c5f3778c77c4417f7238  linuxmint-17.3-cinnamon-nocodecs-32bit.iso
3406350a87c201cdca0927b1bc7c2ccd  linuxmint-17.3-cinnamon-nocodecs-64bit.iso
df38af96e99726bb0a1ef3e5cd47563d  linuxmint-17.3-cinnamon-oem-64bit.iso

Szkoda tylko, że to MD5 (podatne na kolizje) a treść wpisu serwowana była po HTTP. Lepsze to jednak niż nic, a sumy opublikowano także w innych serwisach i wygląda na to, że się zgadzają. Można także włączyć podejrzaną instalację bez dostępu do sieci i sprawdzić, czy zawiera plik

/var/lib/man.cy

Jeśli tak, to jest to wersja zainfekowana. Złośliwe ISO hostowane były pod adresem IP  5.104.175.212 a tylna furtka (prawdopodobnie koń trojański tsunami) łączyła się do adresu absentvodka.com. Ciekawy komentarz pojawił się także w wątku w serwisie Hacker News:

  forums.linuxmint.com pwd
  /root/hacked_distros/mint/var/www/forums.linuxmint.com
    forums.linuxmint.com cat config.php
  <?php
  // phpBB 3.0.x auto-generated configuration file
  // Do not change anything in this file!
  $dbms = 'mysql';
  $dbhost = 'localhost';
  $dbport = '';
  $dbname = 'lms14';
  $dbuser = 'lms14';
  $dbpasswd = 'upMint';

Najwyraźniej administratorzy nie mieli zwyczaju tworzenia skomplikowanych haseł.

PS. Problem miał dotyczyć tylko obrazów ISO, tylko wersji Linux Mint 17.3 Cinnamon i tylko od 20 lutego, jednak biorąc pod uwagę przebieg wydarzeń zalecamy sprawdzenie wszystkich instalacji przeprowadzanych w ciągu ostatnich kilku dni.

Aktualizacja 19:00

Tylna furtka w obrazie ISO ma znacznik czasu z 19 lutego.

Plotki głoszą, że serwis linuxmint.com został zrootowany a baza forum użytkowników skopiowana. W podziemnym sklepie TheRealDeal pojawiła się oferta sprzedaży całej bazy za 85 dolarów.

Tak wyglądały linki do fałszywych obrazów ISO:

A tak wygląda kod tylnej furtki:

Co ciekawe, infrastruktura atakujących pokrywa się z serwerami konia trojańskiego GovRAT, również sprzedawanego w tym samym podziemnym sklepie.

 

Powrót

Komentarze

  • 2016.02.21 13:06 ant_

    ma ktoś takie złośliwe iso do badań?

    Odpowiedz
  • 2016.02.21 13:36 Frida12

    Czy to jest drobiazg?
    To nalezy naglosnic, moze wiecej osob zacznie kontrolowac sumy kontrolne plikow zanim zacznie cos instalowac.

    Odpowiedz
    • 2016.02.21 14:56 Adam

      Tylko najpierw trzeba ustalić stronę z tymi prawdziwymi sumami. :)

      Odpowiedz
      • 2017.12.10 21:53 fantoro

        Niedługo trzeba będzie dawać sumy razem z sygnaturą GPG, e-mailem i serwerem kluczy.

        Odpowiedz
  • 2016.02.21 13:47 obserwator

    A gdzie są linki do torrenta Mint 17,3 xfce, nigdzie nie mogę odszukać…
    Sumy kontrolne tez bym poprosił

    Odpowiedz
  • 2016.02.21 14:29 heł

    /root/hacked_distros/?

    Odpowiedz
  • 2016.02.21 14:55 Adam

    Czyżby to był koniec powiedzenia „na wirusy, exploity, itp. najlepszy jest Linux”? :D

    Odpowiedz
    • 2016.02.21 15:25 Devoid

      Nope, nadal nie.

      Wirus/exploit a ręcznie wgrany backdoor to rzeczy których nie można porównywać. :)

      Odpowiedz
      • 2016.02.21 17:35 Adam

        Tam celowo zostawiłem „itp.” :)
        No chyba, że ktoś faktycznie ceni sobie, gdy wszystko jest preinstalowane w systemie… :)

        Odpowiedz
      • 2016.02.21 17:45 zakius

        tja, tylko teraz i na windowsie faktycznych dziur mało kto używa, zazwyczaj po prostu użyszkodnik na widok „mamy dla ciebie cudowną ofertę! dodatkowe 3 malware gratis!” od razu klika „dawaj mi je szybko, uwielbiam gratisy!”

        Odpowiedz
  • 2016.02.21 15:29 Bulgot

    Dlatego oprócz sum kontrolnych powinni dać też plik z sygnaturą PGP ( jak większość porządnych dystrybucji ).

    Odpowiedz
    • 2016.02.21 17:33 luke345

      właśnie… dodatkowo trzeba ludzi uświadomić jak z tego korzystać…

      Odpowiedz
  • 2016.02.21 15:47 normand

    Ten plik można też sprawdzić na Windows programem 7zip otwierając nim ISO

    Odpowiedz
  • 2016.02.21 17:15 MarkF

    Mam linuxmint-17.3-cinnamon-64bit.iso z 17 grudnia 2015. Zgadza się MD5 ale łatwo zrobić kolizję, nie rozumiem dlaczego takie serwisy nie wiedzą o tak podstawowych aspektach. Takie pliki powinni podpisywać cyfrowo a sumy być przynajmniej w SHA1 (dla porównania Virustotal operuje na SHA256) do tego hasło, ale najlepiej byłoby pomijać WordPressa dla strony z pobieraniem i stosować tam statyczną stronę w HTML. Z tym ostatnim może przesadzam, ale to w końcu ISO całego systemu operacyjnego.

    Odpowiedz
  • 2016.02.21 17:46 Polo

    Dla wczoraj pobranego linuxmint-17.3-cinnamon-64bit.iso wyszła mi suma kontrolna: 7d590864618866c225ede058f1ba61f0

    Więc całkiem możliwe, że 'lewizna’…
    Co ciekawe – zaraz po instalacji nie działała sieć (a dokładniej DNS), bo w systemie nie było pliku /etc/resolv.conf

    System co chwilkę mi się wiesza z nieznanych przyczyn, ale chyba właśnie dowiedziałem się jaka to przyczyna…

    Odpowiedz
  • 2016.02.21 18:10 Wieczorem

    Wczoraj wieczorem ściągałem Minta:
    – nie mam tego pliku (patrzyłem live (komendą ls -a)
    – mam taką samą sumę kontrolną E71A2AAD8B58605E906DBEA444DC4983
    mogę spać spokojnie?

    Odpowiedz
  • 2016.02.21 23:23 xyz

    linuxmint-17.3-cinnamon-64bit
    MD5: E71A2AAD8B58605E906DBEA444DC4983

    SHA256: 854D0CFAA9139A898C2A22AA505B919DDDE34F93B04A831B3F030FFE4E25A8E3

    SHA512: C1F4B1F9D06B6CBDF05D5239175871916446735BD0E2E78E2D2D51A3A18B5EBBE2E638B3BF2485246B88277EC80ACAC0FF478233C55710D55E454EF158765E1A

    Odpowiedz
  • 2016.02.22 12:57 BRUN0

    T0Z T0 K41T3N J357
    https://dl.packetstormsecurity.net/irc/kaiten.c,
    P0DP154N0 H4CK3R BRUN0

    Odpowiedz
  • 2016.02.22 17:28 Arczi

    Na
    ftp://ftp.icm.edu.pl/pub/Linux/dist/linuxmint/isos/stable/17.3/
    są sumy MD5 i SHA256.
    Jak na ironię w sobotę wieczorem pobierałem obraz właśnie z tego serwera i suma kontrolna się zgadza, po zerknięciu do iso nie widzę tego lewego pliku więc niby wszystko gra.
    Jednak niesmak pozostał. Nie wiem jak określić takiego niepoważnego ludka, który poszedł na łatwiznę z wordpressem i do tego z hasłem.
    Wielu ludzi po takim czymś oleje to distro już nie wspomnę o antyreklamie jaką sobie zafundowali. Co do sum to bez komentarza, żenada.

    Odpowiedz
  • 2016.02.25 13:36 taki sobie

    Zhakowanie wydarzyło się kilka dni temu, jak domniemam, a ja swoje minty ściągałem dobry miesiąc temu, wiec wydaję mi się że jest wszystko w porządku .

    Odpowiedz
  • 2016.02.25 14:12 buzer

    Myślę że Ci którzy pobrali w Grudniu, lub Styczniu nie będa mieli problemów. Dlatego że ów plik czy obrazy iso zostały podmienione w lutym.

    Odpowiedz

Zostaw odpowiedź do malek69

Jeśli chcesz zwrócić uwagę na literówkę lub inny błąd techniczny, zapraszamy do formularza kontaktowego. Reagujemy równie szybko.

Pobieraliście Linux Mint ISO? Uwaga na tylną furtkę

Komentarze