В минувший уик-энд злоумышленникам удалось заменить ISO-образ диска с Linux Mint, предлагаемый для скачивания на официальном сайте, версией, содержащей бэкдор.

Мотивы этой хакерской выходки пока не ясны, однако разработчики Linux Mint, одного из наиболее популярных дистрибутивов Linux, заявили, что при малейших признаках продолжения атаки они обратятся за помощью к властям.

В блог-записи, опубликованной в ночь на воскресенье, создатель Linux Mint Клеман Лефебр (Clement Lefebvre) отметил, что ущерб невелик, пострадали лишь одна версия, Linux Mint 17.3 Cinnamon, и те пользователи, которые загрузили ее с официального сайта 20 февраля. Тех, кто скачал ее с торрентов или по прямой HTTP-ссылке, репак не затронул. Тем не менее Лефебр рекомендует всем, у кого возникли подозрения в отношении какой-либо версии, произвести проверку файла ISO с помощью валидных сигнатур MD5, приведенных в блог-записи, и уничтожить все скомпрометированные версии.

Если ISO-образ уже установлен, эксперт советует отключить компьютер от сети, выполнить бэкап и переустановить ОС либо отформатировать соответствующий раздел жесткого диска.

Поскольку взлом уже предан гласности, Лефебр был вполне откровенен; он пояснил, что злоумышленники проникли на сайт Linux Mint через эксплойт WordPress-уязвимости, а затем залили шелл с правами www-data. Linux Mint использует новейшую сборку WordPress, но с кастомной темой, которая вкупе с «нестрогими разрешениями для файла в течение нескольких часов» послужила причиной взлома.

Некоторые перепакованные ISO-образы выгружены на сервера, размещенные в столице Болгарии. «Их роль нам неведома, однако, если запустить расследование, оно начнется именно с них», — заявил Лефебр.

Эксперты «Лаборатории Касперского» изучили зловреда, внедренного в скомпрометированные ISO, и обнаружили, что это примитивный бэкдор, управляемый по незащищенным IRC-каналам. Его функционал ограничен DDoS-атаками типа UDP или TCP flood, загрузкой файлов и выполнением произвольных команд. Как отметил в своей блог-записи эксперт Стефан Ортлоф (Stefan Ortloff), исследование C&C-коммуникаций показало, что «злоумышленник посылает на боты несколько команд, предусмотренных протоколом SMB, — вроде «smbtree -N»; по всей видимости, атакующий пытался получить доступ к совместно используемым ресурсам SMB/CIFS в локальной сети жертвы».

Вслед за предупреждением о бэкдоре в блоге Linux Mint появилась еще одна запись — о взломе базы данных участников тематических форумов. Всех владельцев аккаунтов на forums.linuxmint.com призывают сменить пароль. Лефебр отмечает, что злоумышленники могли украсть:

  • имена пользователей;
  • зашифрованные пароли;
  • адреса email;
  • персональные данные, включенные в цифровую подпись, профиль и т.п.;
  • персональные данные, раскрытые в ходе дискуссий (в том числе приватные темы и сообщения).

Согласно DistroWatch.com, отслеживающему дистрибутивы Linux по числу заходов на страницы в конкретный период, сборка Mint по популярности заметно превосходит Debian, Ubuntu и Fedora.

Лефебр признал, что до настоящего момента самым серьезным инцидентом, связанным с Linux Mint, считалась DDoS-атака. Взломы — это новый, очень важный опыт. «Важно также, чтобы атака была предана гласности, так как речь в данном случае идет не о простое или неудобстве, это призыв к действию, — пишет разработчик. — Нужно, чтобы все пострадавшие поняли, что с ними случилось, чтобы впредь не оказаться в подобном положении».

Категории: Вредоносные программы, Главное, Хакеры