Hacker explica como colocou um backdoor nos downloads do Linux Mint

Centenas de máquinas Linux com backdoor, enquanto a botnet do hacker ainda está operacional

Em nosso artigo anterior, relatamos como o site do Linux Mint foi hackeado, enganando os usuários a baixarem uma ISO falsa do Linux Mint com um backdoor.

Bem, agora, em um chat criptografado no domingo, a pessoa responsável pelo hack, que se apresenta pelo nome de “Peace”, disse à ZDNet que “alguns centenas” de instalações do Linux Mint estavam sob seu controle, o que se revela ser uma parte substancial dos mais de mil downloads durante o dia.

Peace também afirmou que uma cópia completa do fórum do site foi roubada por ele duas vezes: a primeira em 28 de janeiro, e a segunda, que foi a mais recente, em 18 de fevereiro, apenas dois dias antes do hack ser estabelecido.

O hack afetou não apenas os nomes de usuário do fórum, mas também senhas (criptografadas), endereços de e-mail, datas de nascimento, fotos de perfil, qualquer informação na assinatura e qualquer informação postada nos fóruns, incluindo mensagens privadas e tópicos privados. O hacker afirma já ter quebrado algumas das senhas, com muitas mais a serem quebradas em breve. (Supõe-se que o site usou PHPass para hash das senhas, que podem ser quebradas.)

Clement Lefebvre, líder do projeto Linux Mint, confirmou no domingo que o fórum havia sido comprometido. Ele disse: “Foi confirmado que o banco de dados dos fóruns foi comprometido durante o ataque liderado contra nós ontem e que os atacantes adquiriram uma cópia dele. Se você tem uma conta em forums.linuxmint.com, por favor, mude sua senha em todos os sites sensíveis o mais rápido possível.”

De fato, o hacker colocou o banco de dados do fórum (Linuxmint.com shell, php mailer e dump completo do fórum) em um mercado da dark web à venda por uma quantia irrisória de $85 (cerca de 0.197 bitcoin).

Confirmando que a listagem era deles, Peace disse brincando: “Bem, eu preciso de $85.”

No domingo, foi anunciado que cerca de 71.000 contas (que é menos da metade de todas as contas incluídas no banco de dados) foram carregadas no site de notificação de violação HaveIBeenPwned. Se você acha que pode ter sido afetado pela violação, pode pesquisar seu endereço de e-mail em seu banco de dados.

Enquanto Peace disse que morava na Europa e não tinha associação com grupos de hackers, ele se recusou a fornecer informações como seu nome, idade ou gênero.

Em janeiro, Peace estava “apenas fuçando” o site quando descobriu uma vulnerabilidade que lhe permitiu acessá-lo sem qualquer autorização. (O hacker também mencionou que tinha credenciais para fazer login no painel de administração do site como Lefebvre, no entanto, hesitou em descrever como isso acabou sendo útil novamente.) O hacker então, no sábado, trocou uma das imagens de distribuição Linux de 64 bits (ISO) por uma que foi modificada adicionando um backdoor, e depois tomou a decisão de “substituir todos os espelhos” para cada versão do Linux disponível para download no site por uma versão modificada própria.

O hacker disse que, como o código é de código aberto, a versão com backdoor não é tão difícil quanto se poderia pensar. Levou apenas algumas horas para reempacotar uma versão do Linux que continha o backdoor.

Os arquivos foram então enviados para um servidor de arquivos situado na Bulgária pelo hacker, o que levou mais tempo “por causa da largura de banda lenta.”

A melhor maneira de fazer os usuários baixarem a versão com backdoor no site é mudando a soma de verificação (usada para autenticar a confiabilidade de um arquivo) no site com a soma de verificação da versão com backdoor.

O hacker disse: “Quem diabos verifica isso, de qualquer forma?”

Conhecido por trabalhar sozinho, o hacker no passado forneceu serviços privados de exploração para vulnerabilidades conhecidas em sites de mercado privado aos quais está conectado.

O primeiro episódio de hacking começou no final de janeiro, mas aumentou quando eles “começaram a espalhar as imagens com backdoor na manhã cedo [sábado]”, disse o hacker.