Un hacker explica cómo puso un backdoor en las descargas de Linux Mint

Cientos de máquinas Linux con backdoor, ya que la botnet del hacker sigue operativa

En nuestro artículo anterior, informamos cómo el sitio web de Linux Mint fue hackeado, engañando a los usuarios para que descargaran un ISO falso de Linux Mint con un backdoor.

Bueno, ahora, en un chat encriptado el domingo, la persona responsable del hackeo, que se hace llamar “Peace”, le dijo a ZDNet que “unos pocos cientos” de instalaciones de Linux Mint estaban bajo su control, lo que resulta ser una porción sustancial de las más de mil descargas durante el día.

Peace también afirmó que una copia completa del foro del sitio fue robada por él dos veces: la primera el 28 de enero, y la segunda, que fue la más reciente, el 18 de febrero, solo dos días antes de que se estableciera el hackeo.

El hackeo afectó no solo a los nombres de usuario del foro, sino también a las contraseñas (encriptadas), direcciones de correo electrónico, fechas de nacimiento, fotos de perfil, cualquier información en la firma y cualquier información publicada en los foros, incluidos mensajes privados y temas privados. El hacker afirma haber descifrado algunas de las contraseñas ya, con muchas más por descifrar en el futuro. (Se supone que el sitio utilizó PHPass para hashear las contraseñas, que pueden ser descifradas.)

Clement Lefebvre, líder del proyecto Linux Mint, confirmó el domingo que el foro había sido vulnerado. Dijo: “Se confirmó que la base de datos de los foros fue comprometida durante el ataque dirigido contra nosotros ayer y que los atacantes adquirieron una copia de ella. Si tienes una cuenta en forums.linuxmint.com, por favor cambia tu contraseña en todos los sitios sensibles lo antes posible.”

De hecho, el hacker había puesto la base de datos del foro (Linuxmint.com shell, php mailer y volcado completo del foro) en un mercado de la dark web a la venta por una mísera cantidad de $85 (alrededor de 0.197 bitcoin).

Confirmando que la lista era suya, Peace dijo en tono de broma: “Bueno, necesito $85.”

El domingo, se anunció que alrededor de 71,000 cuentas (que es menos de la mitad de todas las cuentas incluidas en la base de datos) fueron cargadas en el sitio de notificación de brechas HaveIBeenPwned. Si crees que puedes haber sido afectado por la brecha, puedes buscar tu dirección de correo electrónico en su base de datos.

Mientras Peace dijo que vivía en Europa y no tenía asociación con grupos de hacking, se negó a proporcionar información como su nombre, edad o género.

En enero, Peace estaba “solo curioseando” en el sitio cuando descubrió una vulnerabilidad que le permitió acceder a él sin ninguna autorización. (El hacker también mencionó que tenía credenciales para iniciar sesión en el panel de administración del sitio como Lefebvre, sin embargo, fue reacio a describir cómo resultó ser útil nuevamente.) El hacker luego, el sábado, intercambió una de las imágenes de distribución de Linux de 64 bits (ISO) por una que fue modificada al agregar un backdoor, y después tomó la decisión de “reemplazar todos los espejos” para cada versión descargable de Linux en el sitio con una versión modificada de la suya.

El hacker dijo que, dado que el código es de código abierto, la versión con backdoor no es tan difícil como uno podría pensar. Solo les tomó unas pocas horas volver a empaquetar una versión de Linux que contenía el backdoor.

Los archivos fueron luego subidos a un servidor de archivos situado en Bulgaria por el hacker, lo que tomó más tiempo “debido a la baja velocidad de banda ancha.”

La mejor manera de hacer que los usuarios descarguen la versión con backdoor en el sitio web es cambiando el checksum (utilizado para autenticar la fiabilidad de un archivo) en el sitio web con el checksum de la versión con backdoor.

El hacker dijo: “¿Quién demonios verifica eso de todos modos?”

Conocido por trabajar solo, el hacker en el pasado ha proporcionado servicios de explotación privados para vulnerabilidades conocidas en sitios de mercado privados a los que están conectados.

El primer episodio de hacking comenzó a finales de enero, pero aumentó cuando “comenzaron a difundir las imágenes con backdoor en la mañana [del sábado]”, dijo el hacker.