Блог починаючого Лінуксоїда :)

Хакери зламали сайт Linux Mint і підмінили офіційний дистрибутив

linux_mint_logo

Під час минулих вихідних керівник проекту Linux Mint, Клемент Лефебр [Clement Lefebvre], повідомив користувачів популярного дистрибутива, що офіційний сайт проекту був зламаний невідомими особами. Посилання на скачування дистрибутива вели на змінені образи системи, в якій був вбудований троян!

Керівник проекту повідомив, що змінена версія, судячи з усього, тільки версія Linux Mint 17.3 Cinnamon edition, посилання на яку існувала на сайті 20 лютого. Тим небагатьом користувачам, які завантажили її, рекомендується видалити цей файл — і, природно, нікуди її не встановлювати. Для перевірки завантажених файлів можна використовувати MD5 хеші.

Правильні:

6e7f7e03500747c6c3bfece2c9c8394f  linuxmint-17.3-cinnamon-32bit.iso
e71a2aad8b58605e906dbea444dc4983  linuxmint-17.3-cinnamon-64bit.iso
30fef1aa1134c5f3778c77c4417f7238  linuxmint-17.3-cinnamon-nocodecs-32bit.iso
3406350a87c201cdca0927b1bc7c2ccd  linuxmint-17.3-cinnamon-nocodecs-64bit.iso
df38af96e99726bb0a1ef3e5cd47563d  linuxmint-17.3-cinnamon-oem-64bit.iso

За попередніми результатами розслідування команда Linux Mint зробила висновок, що хакери проникли на сервер через дірку в WordPress, і в результаті отримали управління www-data. Потім вони змогли змінити сторінку з посиланнями так, що ті стали вказувати на болгарський сервер з IP 5.104.175.212. Однак після того, як команда Linux Mint виправила посилання і повідомила про це в своєму блозі, хакери знову змінили сторінку з посиланнями. Після цього було вирішено тимчасово повністю закрити linuxmint.com, оскільки стало очевидно, що загрозу не усунуто.

Спеціаліст з безпеки Йонатан Клійнсма з компанії Fox-IT запропонував свою версію того, що сталося. Він звернув увагу, що за кілька годин до оголошення в блозі Linux Mint про злом, хтось виставив на продаж на сайті TheRealDeal (що знаходиться в «темній» частини інтернету, на прихованих сервісах Tor) доступ на сайт linuxmint. Хакер під ніком peace_of_mind пропонував шелл-доступ, php mailer і повний дамп форуму за 0.1910.У «підроблених» ISO-файлах було знайдено лише одна зміна — в файл man.cy був доданий троян tsunami, який працює як IRC-бот і використовується для DDOS-АТТАК. Він відомий ще з 2013 року.

Судячи з того, що хакери вбудували в дистрибутив такий несерйозний «чорний хід», виставили на продаж доступ до сайту, а потім ще й видалив себе, повторно помінявши сторінку, коли власники сайту вважали, що усунули проблему — над проектом працювала дуже недосвідчена група або всього один початківець хакер. 

Джерело: Linux Mint Blog , Geektimes