Hacker erklärt, wie er eine Hintertür in Linux Mint Downloads eingebaut hat

Hunderte von Linux-Maschinen mit Hintertüren, da das Botnetz des Hackers weiterhin aktiv ist

In unserem vorherigen Artikel berichteten wir, wie die Website von Linux Mint gehackt wurde, die Benutzer dazu brachte, ein gefälschtes Linux Mint ISO mit einer Hintertür herunterzuladen.

Nun sagte die Person, die für den Hack verantwortlich ist und sich „Peace“ nennt, in einem verschlüsselten Chat am Sonntag gegenüber ZDNet, dass „ein paar hundert“ Linux Mint Installationen unter ihrer Kontrolle seien, was sich als ein erheblicher Teil der mehr als tausend Downloads während des Tages herausstellt.

Peace erklärte außerdem, dass eine vollständige Kopie des Forums der Seite zweimal von ihm gestohlen wurde: die erste am 28. Januar und die zweite, die die aktuellste war, am 18. Februar, nur zwei Tage bevor der Hack eingerichtet wurde.

Der Hack betraf nicht nur die Benutzernamen im Forum, sondern auch Passwörter (verschlüsselt), E-Mail-Adressen, Geburtsdaten, Profilbilder, alle Informationen in der Signatur und alle Informationen, die in Foren gepostet wurden, einschließlich privater Nachrichten und privater Themen. Der Hacker behauptet, bereits einige der Passwörter geknackt zu haben, mit vielen weiteren, die noch in der Warteschlange stehen. (Es wird angenommen, dass die Seite PHPass verwendet hat, um die Passwörter zu hashen, die geknackt werden können.)

Clement Lefebvre, Leiter des Linux Mint Projekts, bestätigte am Sonntag, dass das Forum kompromittiert wurde. Er sagte: „Es wurde bestätigt, dass die Datenbank der Foren während des Angriffs, der gestern gegen uns geführt wurde, kompromittiert wurde und dass die Angreifer eine Kopie davon erlangt haben. Wenn Sie ein Konto auf forums.linuxmint.com haben, ändern Sie bitte so schnell wie möglich Ihr Passwort auf allen sensiblen Websites.“

Tatsächlich hatte der Hacker die Forendatenbank (Linuxmint.com Shell, PHP-Mailer und vollständiger Forendump) für einen lächerlichen Betrag von 85 $ (etwa 0,197 Bitcoin) auf einem Dark-Web-Marktplatz zum Verkauf angeboten.

Als er bestätigte, dass die Anzeige von ihm stammte, sagte Peace scherzhaft: „Nun, ich brauche 85 $.“

Am Sonntag wurde bekannt gegeben, dass etwa 71.000 Konten (was weniger als die Hälfte aller Konten in der Datenbank ist) in die Datenbank der Verletzungsbenachrichtigungsseite HaveIBeenPwned geladen wurden. Wenn Sie denken, dass Sie von der Verletzung betroffen sein könnten, können Sie in der Datenbank nach Ihrer E-Mail-Adresse suchen.

Während Peace sagte, dass er in Europa lebt und keine Verbindung zu Hackergruppen hat, weigerte er sich, Informationen wie seinen Namen, sein Alter oder Geschlecht preiszugeben.

Im Januar „stöberte“ Peace nur auf der Seite herum, als er eine Schwachstelle entdeckte, die es ihm ermöglichte, ohne Autorisierung darauf zuzugreifen. (Der Hacker erwähnte auch, dass er Anmeldeinformationen hatte, um sich im Admin-Panel der Seite als Lefebvre einzuloggen, war jedoch zögerlich, zu beschreiben, wie sich dies als nützlich herausstellte.) Der Hacker tauschte dann am Samstag eines der 64-Bit-Linux-Distributionsbilder (ISO) gegen eines aus, das durch Hinzufügen einer Hintertür modifiziert wurde, und entschied sich anschließend, „alle Mirrors“ für jede herunterladbare Version von Linux auf der Seite durch eine modifizierte Version von sich selbst zu ersetzen.

Der Hacker sagte, dass es, da der Code Open Source ist, nicht so schwer sei, wie man denken würde, die Hintertür-Version zu erstellen. Es dauerte nur ein paar Stunden, um eine Linux-Version neu zu verpacken, die die Hintertür enthielt.

Die Dateien wurden dann von dem Hacker auf einen Dateiserver in Bulgarien hochgeladen, was am längsten dauerte „wegen der langsamen Bandbreite.“

Der beste Weg, um Benutzer dazu zu bringen, die Hintertür-Version auf der Website herunterzuladen, besteht darin, die Prüfziffer (die zur Authentifizierung der Zuverlässigkeit einer Datei verwendet wird) auf der Website mit der Prüfziffer der Hintertür-Version zu ändern.

Der Hacker sagte: „Wer zur Hölle überprüft die sowieso?“

Bekannt dafür, allein zu arbeiten, hat der Hacker in der Vergangenheit private Exploit-Dienste für bekannte Schwachstellen auf privaten Marktplatzseiten angeboten, mit denen er verbunden ist.

Die erste Hacking-Episode begann Ende Januar, nahm jedoch zu, als sie „begannen, die Hintertür-Bilder am frühen Morgen [Samstag] zu verbreiten“, sagte der Hacker.