Хакер объясняет, как он установил бэкдор в загрузки Linux Mint

Сотни машин на Linux с бэкдором, так как ботнет хакера все еще работает

В нашей предыдущей статье мы сообщали о том, как сайт Linux Mint был взломан, что заставило пользователей скачать поддельный ISO-образ Linux Mint с бэкдором.

Теперь, в зашифрованном чате в воскресенье, человек, ответственный за взлом, который называет себя «Мир», сообщил ZDNet, что «несколько сотен» установок Linux Mint находятся под их контролем, что оказывается значительной частью более тысячи загрузок за день.

Мир также заявил, что полная копия форума сайта была украдена им дважды: первый раз 28 января, а второй раз, который был самым последним, 18 февраля, всего за два дня до того, как был установлен взлом.

Взлом затронул не только имена пользователей форума, но и пароли (зашифрованные), адреса электронной почты, даты рождения, фотографии профиля, любую информацию в подписи и любую информацию, размещенную на форумах, включая личные сообщения и личные темы. Хакер утверждает, что уже взломал некоторые пароли, и многие другие находятся в процессе взлома. (Предполагается, что сайт использовал PHPass для хеширования паролей, которые можно взломать.)

Клемент Лефевр, лидер проекта Linux Mint, подтвердил в воскресенье, что форум был скомпрометирован. Он сказал: «Подтверждено, что база данных форумов была скомпрометирована во время атаки, направленной против нас вчера, и что злоумышленники получили ее копию. Если у вас есть учетная запись на forums.linuxmint.com, пожалуйста, как можно скорее измените свой пароль на всех важных сайтах.»

На самом деле, хакер выставил базу данных форума (оболочка Linuxmint.com, php mailer и полный дамп форума) на темном веб-рынке на продажу за скромную сумму в 85 долларов (примерно 0.197 биткойна).

Подтверждая, что это их объявление, Мир шутливо сказал: «Ну, мне нужно 85 долларов.»

В воскресенье было объявлено, что около 71,000 учетных записей (что составляет менее половины всех учетных записей, включенных в базу данных) были загружены на сайт уведомлений о взломах HaveIBeenPwned. Если вы думаете, что могли быть затронуты взломом, вы можете поискать свой адрес электронной почты в его базе данных.

Хотя Мир сказал, что он живет в Европе и не имеет отношения к хакерским группам, он отказался предоставить такую информацию, как имя, возраст или пол.

В январе Мир «просто поковырялся» на сайте, когда обнаружил уязвимость, которая позволила ему получить доступ к нему без какой-либо авторизации. (Хакер также упомянул, что у него были учетные данные для входа в админ-панель сайта как Лефевр, однако он был неохотен описывать, как это оказалось полезным снова.) Затем хакер в субботу заменил один из образов 64-битной версии Linux (ISO) на тот, который был модифицирован добавлением бэкдора, и после этого принял решение «заменить все зеркала» для каждой загружаемой версии Linux на сайте на модифицированную версию своей.

Хакер сказал, что поскольку код является открытым, версия с бэкдором не так уж и сложна, как можно было бы подумать. Ему потребовалось всего несколько часов, чтобы перепаковать версию Linux, содержащую бэкдор.

Файлы затем были загружены на файловый сервер, расположенный в Болгарии, хакером, что заняло больше всего времени «из-за медленной пропускной способности».

Лучший способ заставить пользователей скачать версию с бэкдором на сайте — это изменить контрольную сумму (используемую для аутентификации надежности файла) на сайте на контрольную сумму версии с бэкдором.

Хакер сказал: «Кто, черт возьми, вообще проверяет это?»

Известный тем, что работает в одиночку, хакер в прошлом предоставлял частные услуги эксплуатации для известных уязвимостей на частных рыночных сайтах, с которыми он связан.

Первый эпизод взлома начался в конце января, но увеличился, когда они «начали распространять образы с бэкдором рано утром [в субботу]», сказал хакер.