Взломанный сайт Linux Mint распространял дистрибутивы с «чёрным ходом»
21 февраля руководитель проекта Linux Mint, Клемент Лефебр [Clement Lefebvre], уведомил пользователей популярного дистрибутива, что официальный сайт проекта был взломан неизвестными лицами. Ссылки на скачивание дистрибутива вели на изменённые образы системы, в которые был встроен троян.
Руководитель проекта сообщил, что скомпрометирована оказалась, судя по всему, только версия Linux Mint 17.3 Cinnamon edition, ссылка на которую существовала на сайте 20 февраля. Тем немногим пользователям, которые скачали её, рекомендуется удалить этот файл — и, естественно, никуда её не устанавливать. Для проверки скачанных файлов можно использовать MD5 хэши, которые Лефебр указал в записи в блоге.
Пока что известно, что модифицированные ISO-файлы хостились в Болгарии, и уже всплыли имена трёх человек, причастных к их размещению.
По предварительным результатам расследования команда Linux Mint сделала заключение, что хакеры проникли на сервер через дыру в WordPress, и в результате получили управление www-data. Затем они смогли изменить страницу со ссылками так, что те стали указывать на болгарский сервер с IP 5.104.175.212
Однако после того, как команда Linux Mint исправила ссылки и сообщила об этом в своём блоге, хакеры снова изменили страничку со ссылками. В результате было решено временно полностью закрыть linuxmint.com, поскольку стало очевидно, что угроза не устранена.
Специалист по безопасности Йонатан Клийнсма [Yonathan Klijnsma] из компании Fox-IT предложил свою версию случившегося. Он обратил внимание, что за несколько часов до объявления в блоге Linux Mint о взломе, некто выставил на продажу на сайте TheRealDeal (находящемся в «тёмной» части интернета, на скрытых сервисах Tor) доступ на сайт linuxmint.
Хакер под ником peace_of_mind предлагал шелл-доступ, php mailer и полный дамп форума за 0.1910. Кто-то уже успел купить его и выложить на Hacker News конфигурационный файл форума phpBB:
// phpBB 3.0.x auto-generated configuration file
// Do not change anything in this file!
$dbms = 'mysql';
$dbhost = 'localhost';
$dbport = '';
$dbname = 'lms14';
$dbuser = 'lms14';
$dbpasswd = 'upMint';
В «поддельных» ISO-файлах было найдено лишь одно изменение — в файл man.cy был добавлен троян tsunami, который работает как IRC-бот и используется для DDOS-аттак. Он известен ещё с 2013 года.
Its 2016 and a popular Linux distribution ISO was modified and a backdoor was added, an IRC bot. just a plain IRC bot…
— Yonathan Klijnsma (@ydklijnsma) 21 февраля 2016
Судя по тому, что хакеры встроили в дистрибутив такой несерьёзный «чёрный ход», выставили на продажу доступ к сайту, а потом ещё и выдали себя, повторно поменяв страницу, когда владельцы сайта считали, что устранили проблему — над проектом трудилась очень неопытная группа или один дилетант. И, учитывая популярность данного дистрибутива, исход дела можно назвать удачным.