Un hacker spiega come ha inserito un backdoor nei download di Linux Mint

Centinaia di macchine Linux compromesse, mentre il botnet dell’hacker è ancora operativo

Nel nostro articolo precedente, avevamo riportato come il sito di Linux Mint fosse stato hackerato, ingannando gli utenti a scaricare un falso ISO di Linux Mint con un backdoor.

Bene, ora, in una chat crittografata di domenica, la persona responsabile dell’hack, che si fa chiamare “Peace”, ha detto a ZDNet che “alcune centinaia” di installazioni di Linux Mint erano sotto il loro controllo, il che si rivela essere una parte sostanziale dei mille download durante la giornata.

Peace ha anche dichiarato che una copia completa del forum del sito è stata rubata da lui due volte: la prima il 28 gennaio e la seconda, la più recente, il 18 febbraio, solo due giorni prima che l’hack fosse stabilito.

L’hack ha colpito non solo i nomi utente del forum, ma anche le password (crittografate), gli indirizzi email, le date di nascita, le foto del profilo, qualsiasi informazione nella firma e qualsiasi informazione pubblicata sui forum, inclusi messaggi privati e argomenti privati. L’hacker afferma di aver già decifrato alcune delle password, con molte altre da decifrare in arrivo. (Si presume che il sito utilizzasse PHPass per crittografare le password, che possono essere decifrate.)

Clement Lefebvre, leader del progetto Linux Mint, ha confermato domenica che il forum era stato compromesso. Ha detto: “È stato confermato che il database dei forum è stato compromesso durante l’attacco condotto contro di noi ieri e che gli aggressori hanno acquisito una copia di esso. Se hai un account su forums.linuxmint.com, ti preghiamo di cambiare la tua password su tutti i siti sensibili il prima possibile.”

Infatti, l’hacker aveva messo in vendita il database del forum (Linuxmint.com shell, php mailer e dump completo del forum) su un marketplace del dark web per una misera somma di $85 (circa 0.197 bitcoin).

Confermando che l’inserzione era loro, Peace ha detto scherzosamente: “Bene, ho bisogno di $85.”

Domenica è stato annunciato che circa 71.000 account (che sono meno della metà di tutti gli account inclusi nel database) erano stati caricati nel sito di notifica delle violazioni HaveIBeenPwned. Se pensi di essere stato colpito dalla violazione, puoi cercare nel suo database il tuo indirizzo email.

Mentre Peace ha detto di vivere in Europa e di non avere associazioni con gruppi di hacker, ha rifiutato di fornire informazioni come il proprio nome, età o genere.

A gennaio, Peace stava “solo curiosando” nel sito quando ha scoperto una vulnerabilità che gli ha permesso di accedervi senza alcuna autorizzazione. (L’hacker ha anche menzionato di avere le credenziali per accedere al pannello di amministrazione del sito come Lefebvre, tuttavia, era riluttante a descrivere come si sia rivelato utile di nuovo.) L’hacker poi, sabato, ha sostituito una delle immagini della distribuzione Linux a 64 bit (ISO) con una modificata aggiungendo un backdoor, e successivamente ha deciso di “sostituire tutti i mirror” per ogni versione scaricabile di Linux sul sito con una versione modificata della propria.

L’hacker ha detto che poiché il codice è open-source, la versione con backdoor non è così difficile come si potrebbe pensare. Ci sono volute solo poche ore per ripacchettare una versione di Linux che conteneva il backdoor.

I file sono stati poi caricati su un server di file situato in Bulgaria dall’hacker, il che ha richiesto più tempo “a causa della banda lenta.”

Il modo migliore per indurre gli utenti a scaricare la versione con backdoor sul sito è cambiare il checksum (utilizzato per autenticare l’affidabilità di un file) sul sito con il checksum della versione con backdoor.

L’hacker ha detto: “Chi diavolo controlla comunque quelli?”

Conosciuto per lavorare da solo, l’hacker in passato ha fornito servizi di exploit privati per vulnerabilità note su siti di marketplace privati a cui è connesso.

Il primo episodio di hacking è iniziato a fine gennaio, ma è aumentato quando hanno “iniziato a diffondere le immagini con backdoor nella mattina presto [sabato]”, ha detto l’hacker.