Un hacker explique comment il a mis une porte dérobée sur les téléchargements de Linux Mint

Des centaines de machines Linux avec porte dérobée, alors que le botnet du hacker est toujours opérationnel

Dans notre précédent article, nous avions rapporté comment le site de Linux Mint avait été piraté, trompant les utilisateurs pour qu’ils téléchargent une fausse ISO de Linux Mint avec une porte dérobée.

Eh bien maintenant, dans un chat crypté dimanche, la personne responsable du piratage, qui se fait appeler « Peace », a déclaré à ZDNet qu’un « quelques centaines » d’installations de Linux Mint étaient sous son contrôle, ce qui s’avère être une portion substantielle des mille téléchargements durant la journée.

Peace a également déclaré qu’une copie complète du forum du site avait été volée par lui deux fois : la première le 28 janvier, et la seconde, qui était la plus récente, le 18 février, juste deux jours avant que le piratage ne soit établi.

Le piratage a affecté non seulement les noms d’utilisateur du forum, mais aussi les mots de passe (chiffrés), les adresses e-mail, les dates de naissance, les photos de profil, toute information dans la signature et toute information postée sur les forums, y compris les messages privés et les sujets privés. Le hacker prétend avoir déjà craqué certains des mots de passe, avec beaucoup d’autres à craquer dans le pipeline. (On suppose que le site utilisait PHPass pour hacher les mots de passe, qui peuvent être craqués.)

Clement Lefebvre, leader du projet Linux Mint, a confirmé dimanche que le forum avait été compromis. Il a déclaré : « Il a été confirmé que la base de données des forums a été compromise lors de l’attaque menée contre nous hier et que les attaquants ont acquis une copie. Si vous avez un compte sur forums.linuxmint.com, veuillez changer votre mot de passe sur tous les sites sensibles dès que possible. »

En fait, le hacker avait mis la base de données du forum (shell Linuxmint.com, mailer php, et dump complet du forum) en vente sur un marché du dark web pour une somme dérisoire de 85 $ (environ 0,197 bitcoin).

Confirmant que l’annonce leur appartenait, Peace a dit en plaisantant : « Eh bien, j’ai besoin de 85 $. »

Dimanche, il a été annoncé qu’environ 71 000 comptes (ce qui est moins de la moitié de tous les comptes inclus dans la base de données) avaient été chargés sur le site de notification de violation HaveIBeenPwned. Si vous pensez avoir été affecté par la violation, vous pouvez rechercher votre adresse e-mail dans sa base de données.

Bien que Peace ait déclaré qu’il vivait en Europe et n’avait aucune association avec des groupes de hackers, il a refusé de fournir des informations telles que son nom, son âge ou son sexe.

En janvier, Peace était « juste en train de fouiller » le site lorsqu’il a découvert une vulnérabilité qui lui a permis d’y accéder sans aucune autorisation. (Le hacker a également mentionné qu’il avait des identifiants pour se connecter au panneau d’administration du site en tant que Lefebvre, mais était hésitant à décrire comment cela s’est avéré utile à nouveau.) Le hacker a ensuite échangé samedi l’une des images de distribution Linux 64 bits (ISO) avec une version modifiée en ajoutant une porte dérobée, et a ensuite décidé de « remplacer tous les miroirs » pour chaque version téléchargeable de Linux sur le site par une version modifiée de sa propre création.

Le hacker a déclaré que comme le code est open-source, la version avec porte dérobée n’est pas aussi difficile qu’on pourrait le penser. Il leur a juste fallu quelques heures pour reconditionner une version de Linux contenant la porte dérobée.

Les fichiers ont ensuite été téléchargés sur un serveur de fichiers situé en Bulgarie par le hacker, ce qui a pris le plus de temps « à cause de la bande passante lente. »

Le meilleur moyen de faire télécharger aux utilisateurs la version avec porte dérobée sur le site est de changer le checksum (utilisé pour authentifier la fiabilité d’un fichier) sur le site avec le checksum de la version avec porte dérobée.

Le hacker a dit : « Qui diable vérifie ça de toute façon ? »

Connu pour travailler seul, le hacker a par le passé fourni des services d’exploitation privés pour des vulnérabilités connues sur des sites de marché privés auxquels il est connecté.

Le premier épisode de piratage a commencé fin janvier, mais a augmenté lorsqu’il a « commencé à diffuser les images avec porte dérobée tôt le matin [samedi] », a déclaré le hacker.