해커가 리눅스 민트 다운로드에 백도어를 설치한 방법 설명

수백 대의 리눅스 머신이 백도어에 감염되었으며, 해커의 봇넷은 여전히 운영 중

이전 기사에서 우리는 리눅스 민트 웹사이트가 해킹되어 사용자가 백도어가 포함된 가짜 리눅스 민트 ISO를 다운로드하도록 속였다는 사실을 보도했습니다.

이제 일요일에 암호화된 채팅에서 해킹의 책임자인 “Peace”라는 이름을 가진 사람이 ZDNet에 “몇 백 개”의 리눅스 민트 설치가 그들의 통제 하에 있다고 밝혔습니다. 이는 하루 동안의 천 건 이상의 다운로드 중 상당한 부분에 해당합니다.

Peace는 또한 사이트 포럼의 전체 복사본이 두 번 도난당했다고 밝혔습니다: 첫 번째는 1월 28일, 두 번째는 해킹이 발생하기 이틀 전인 2월 18일입니다.

해킹은 포럼 사용자 이름뿐만 아니라 비밀번호(암호화됨), 이메일 주소, 생년월일, 프로필 사진, 서명에 있는 모든 정보 및 포럼에 게시된 모든 정보(개인 메시지 및 개인 주제 포함)에 영향을 미쳤습니다. 해커는 이미 일부 비밀번호를 해독했다고 주장하며, 더 많은 비밀번호가 해독될 예정입니다. (사이트가 비밀번호를 해시하기 위해 PHPass를 사용한 것으로 추정됩니다.)

리눅스 민트 프로젝트의 리더인 클레멘 르페브르(Clement Lefebvre)는 일요일에 포럼이 침해되었다고 확인했습니다. 그는 “어제 우리에게 가해진 공격 중 포럼 데이터베이스가 손상되었고 공격자들이 그 복사본을 획득했다는 것이 확인되었습니다. forums.linuxmint.com에 계정이 있는 경우 가능한 한 빨리 모든 민감한 웹사이트에서 비밀번호를 변경하십시오.”라고 말했습니다.

실제로 해커는 포럼 데이터베이스(리눅스민트.com 쉘, php 메일러 및 전체 포럼 덤프)를 다크 웹 마켓플레이스에 85달러(약 0.197 비트코인)에 판매하기 위해 올렸습니다.

Peace는 그 목록이 자신의 것임을 확인하며 농담처럼 “글쎄, 나는 85달러가 필요해.”라고 말했습니다.

일요일에 약 71,000개의 계정(데이터베이스에 포함된 모든 계정의 절반도 안 되는 수)이 침해 알림 사이트 HaveIBeenPwned에 로드되었다고 발표되었습니다. 침해의 영향을 받았다고 생각되면 이메일 주소로 데이터베이스를 검색할 수 있습니다.

Peace는 자신이 유럽에 살고 있으며 해킹 그룹과는 관련이 없다고 말했지만, 이름, 나이 또는 성별과 같은 정보를 제공하는 것을 거부했습니다.

1월에 Peace는 사이트를 “그냥 둘러보고” 있을 때 인증 없이 접근할 수 있는 취약점을 발견했습니다. (해커는 또한 사이트의 관리자 패널에 로그인할 수 있는 자격 증명이 있었지만, 그것이 어떻게 유용하게 되었는지 설명하는 것을 주저했습니다.) 해커는 그 후 토요일에 64비트 리눅스 배포 이미지(ISO) 중 하나를 백도어가 추가된 수정된 이미지로 교체했으며, 이후 사이트의 모든 다운로드 가능한 리눅스 버전을 자신의 수정된 버전으로 “모든 미러를 교체”하기로 결정했습니다.

해커는 코드가 오픈 소스이기 때문에 백도어가 포함된 버전이 생각보다 어렵지 않다고 말했습니다. 백도어가 포함된 리눅스 버전을 재포장하는 데 몇 시간밖에 걸리지 않았습니다.

그 파일은 해커에 의해 불가리아에 위치한 파일 서버에 업로드되었으며, 이는 “느린 대역폭” 때문에 가장 오랜 시간이 걸렸습니다.

사용자가 웹사이트에서 백도어가 포함된 버전을 다운로드하도록 유도하는 가장 좋은 방법은 웹사이트의 체크섬(파일의 신뢰성을 인증하는 데 사용됨)을 백도어가 포함된 버전의 체크섬으로 변경하는 것입니다.

해커는 “누가 그런 걸 확인하겠어?”라고 말했습니다.

혼자 작업하는 것으로 알려진 해커는 과거에 그들이 연결된 개인 마켓플레이스 사이트에서 알려진 취약점 서비스에 대한 개인 익스플로잇 서비스를 제공한 적이 있습니다.

첫 번째 해킹 사건은 1월 말에 시작되었지만, 그들이 “백도어가 포함된 이미지를 이른 아침 [토요일]에 퍼뜨리기 시작하면서” 증가했다고 해커는 말했습니다.