A Linux Mint fejlesztői figyelmeztettek, hogy hackerek fertőzött telepítő fájlokat helyeztek el a hivatalos weboldalukon. Az incidens után a weboldal és a fórum is leállításra került. A hivatalos információk szerint, aki torrenten vagy direkt HTTP linken keresztül töltötte le az ISO-t, azt nem érintette az incidens.
A támadók a letöltési linket kicserélve egy olyan címre irányítottak át ahonnan a felhasználók egy Tsunami trójaival fertőzött Linux Mint 17.3 telepítő fájlt tölthettek le. A kártevő egy hátsó kapun keresztül bolgár szerverhez kapcsolódik az 5.104.175.212-es IP címre, és a káros kód hatásaként a támadók elosztott szolgáltatás megtagadásos támadást (DDoS) hajthatnak végre, fájlokat tölthetnek le és shell parancsokat futtattatnak a fertőzött rendszeren.
A linkek kicserélésével egyidejűleg a támadó feltörte a hivatalos fórumot is, melynek adatbázisából felhasználóneveket, hashelt jelszavakat, e-mail címeket, és további felhasználókhoz köthető információkat lopott el (fórumra posztolt információk, privát levelezések). Az ellopott adatokat az információk szerint már árulják az interneten, mindössze 85 dollárért (kb. 24 000 Ft).
A fejlesztők egyenlőre vizsgálják az incidens körülményeit, de valószínűleg egy eddig nem ismert 0. napi WordPress sebezhetőséget sikerült kihasználnia a támadónak.
Aki február 20.-án töltötte le az érintett disztribúciót a hivatalos weboldalon elhelyezett linkről, annak javasolt a rendszert újra beszereznie, majd egy tiszta telepítést elvégeznie. A fórumon regisztrált felhasználóknak pedig javasolt megváltoztatni minden olyan weboldalon a jelszavukat, melyeken ugyanazt a belépési információt használják, mint a Linux Mint fórumához.
Forrás:
- http://blog.linuxmint.com/?p=2994
- http://www.securityweek.com/linux-mint-website-forum-hacked
- http://www.zdnet.com/article/linux-mint-website-hacked-malicious-backdoor-version/
- http://www.zdnet.com/article/hacker-hundreds-were-tricked-into-installing-linux-mint-backdoor/
- http://thehackernews.com/2016/02/linux-mint-hack.html