Хакеры взломали сайт Linux Mint и подменили официальный дистрибутив ОС на версию со встроенным трояном

Linux Mint

Во время прошедших выходных руководитель проекта Linux Mint, Клемент Лефебр [Clement Lefebvre], уведомил пользователей популярного дистрибутива, что официальный сайт проекта был взломан неизвестными лицами. Ссылки на скачивание дистрибутива вели на изменённые образы системы, в которые был встроен троян.

Руководитель проекта сообщил, что скомпрометирована оказалась, судя по всему, только версия Linux Mint 17.3 Cinnamon edition, ссылка на которую существовала на сайте 20 февраля. Тем немногим пользователям, которые скачали её, рекомендуется удалить этот файл – и, естественно, никуда её не устанавливать. Для проверки скачанных файлов можно использовать MD5 хэши, которые Лефебр указал в записи в блоге.

По предварительным результатам расследования команда Linux Mint сделала заключение, что хакеры проникли на сервер через дыру в WordPress, и в результате получили управление www-data. Затем они смогли изменить страницу со ссылками так, что те стали указывать на болгарский сервер с IP 5.104.175.212. Однако после того, как команда Linux Mint исправила ссылки и сообщила об этом в своём блоге, хакеры снова изменили страничку со ссылками. В результате было решено временно полностью закрыть linuxmint.com, поскольку стало очевидно, что угроза не устранена.

Специалист по безопасности Йонатан Клийнсма из компании Fox-IT предложил свою версию случившегося. Он обратил внимание, что за несколько часов до объявления в блоге Linux Mint о взломе, некто выставил на продажу на сайте TheRealDeal (находящемся в «тёмной» части интернета, на скрытых сервисах Tor) доступ на сайт linuxmint. Хакер под ником peace_of_mind предлагал шелл-доступ, php mailer и полный дамп форума за 0.1910. В «поддельных» ISO-файлах было найдено лишь одно изменение – в файл man.cy был добавлен троян tsunami, который работает как IRC-бот и используется для DDOS-аттак. Он известен ещё с 2013 года.

Судя по тому, что хакеры встроили в дистрибутив такой несерьёзный «чёрный ход», выставили на продажу доступ к сайту, а потом ещё и выдали себя, повторно поменяв страницу, когда владельцы сайта считали, что устранили проблему – над проектом трудилась очень неопытная группа или всего один начинающий хакер. Впрочем, нельзя исключать и возможность отвлекающего маневра с непонятными пока мотивами.

Источник: Linux Mint Blog, Geektimes