ハッカーがLinux Mintのダウンロードにバックドアを仕込んだ方法を説明

数百台のLinuxマシンがバックドアを仕込まれ、ハッカーのボットネットはまだ稼働中

前回の記事では、Linux Mintのウェブサイトがハッキングされ、ユーザーがバックドア付きの偽のLinux Mint ISOをダウンロードするように仕向けられたことを報告しました。

さて、日曜日の暗号化されたチャットで、ハッキングの責任者である「Peace」という名前の人物がZDNetに対して、「数百台」のLinux Mintインストールが彼らの管理下にあると語りました。これは、1日あたりの千を超えるダウンロードのかなりの部分を占めることが判明しました。

Peaceはまた、サイトのフォーラムの完全なコピーが彼によって2回盗まれたと述べました。最初は1月28日、2回目はハッキングが確立される2日前の2月18日でした。

このハッキングはフォーラムのユーザー名だけでなく、パスワード（暗号化）、メールアドレス、生年月日、プロフィール画像、署名内の情報、フォーラムに投稿された情報（プライベートメッセージやプライベートトピックを含む）にも影響を及ぼしました。ハッカーはすでにいくつかのパスワードを解読したと主張しており、さらに多くのパスワードが解読される予定です。（サイトはPHPassを使用してパスワードをハッシュ化していたと推測されていますが、これは解読可能です。）

Linux Mintプロジェクトのリーダーであるクレモン・ルフェーブルは、日曜日にフォーラムが侵害されたことを確認しました。彼は「昨日私たちに対して行われた攻撃中にフォーラムのデータベースが侵害されたことが確認され、攻撃者がそれのコピーを取得した」と述べました。「forums.linuxmint.comにアカウントをお持ちの方は、できるだけ早くすべての重要なウェブサイトでパスワードを変更してください。」

実際、ハッカーはフォーラムのデータベース（Linuxmint.comシェル、phpメール送信者、完全なフォーラムダンプ）をダークウェブのマーケットプレイスでわずか85ドル（約0.197ビットコイン）で販売していました。

そのリストが彼らのものであることを確認したPeaceは冗談めかして「まあ、85ドルが必要なんだ」と言いました。

日曜日には、約71,000のアカウント（これはデータベースに含まれるすべてのアカウントの半分未満）が侵害通知サイトHaveIBeenPwnedに読み込まれたと発表されました。もしあなたが侵害の影響を受けた可能性があると思うなら、あなたのメールアドレスでそのデータベースを検索できます。

Peaceは、自分がヨーロッパに住んでおり、ハッキンググループとは関係がないと述べましたが、名前、年齢、性別などの情報を提供することを拒否しました。

1月、Peaceは「ただサイトをいじっていた」ときに、認証なしでアクセスできる脆弱性を発見しました。（ハッカーは、Lefebvreとしてサイトの管理パネルにログインするための資格情報を持っていたとも述べましたが、それがどのように役立ったかを説明するのはためらっていました。）その後、ハッカーは土曜日に64ビットのLinuxディストリビューションイメージ（ISO）の1つをバックドアを追加したものに置き換え、その後、サイト上のすべてのダウンロード可能なLinuxのバージョンを自分の修正バージョンに「置き換える」ことを決定しました。

ハッカーは、コードがオープンソースであるため、バックドア付きのバージョンは思ったほど難しくないと言いました。バックドアを含むLinuxバージョンを再パッケージするのに数時間しかかかりませんでした。

そのファイルは、ハッカーによってブルガリアにあるファイルサーバーにアップロードされましたが、「遅い帯域幅のために」最も時間がかかりました。

ウェブサイトでバックドア付きのバージョンをユーザーにダウンロードさせる最良の方法は、ウェブサイト上のチェックサム（ファイルの信頼性を認証するために使用される）をバックドア付きバージョンのチェックサムに変更することです。

ハッカーは「誰がそんなものをチェックするんだ？」と言いました。

一人で作業することで知られるハッカーは、過去にプライベートマーケットプレイスサイトで知られている脆弱性サービスのためのプライベートエクスプロイトサービスを提供していました。

最初のハッキングエピソードは1月下旬に始まりましたが、彼らが「バックドア付きのイメージを早朝[土曜日]に広め始めたとき」に増加したとハッカーは述べました。