Október közepén a Xubuntu (az Ubuntu egyik hivatalos, könnyűsúlyú változata) weboldalán egy furcsa és aggasztó jelenséget észleltek. Aki a hivatalos letöltési oldalról akarta letölteni az operációs rendszert, az nem a megszokott telepítőfájlt vagy torrentet kapta, hanem egy „xubuntu-safe-download.zip” nevű csomagot.
A fájl nem Linuxra készült, hanem egy Windows programot tartalmazott, ami valójában egy kártevő volt. A támadók nem magát a Xubuntu rendszert vagy a telepítőképeket törték fel. Azokat a fájlokat, amiket a felhasználók ténylegesen telepítenek a gépükre, nem módosították. A támadás a weboldal letöltési felületét érte. Valaki hozzáférést szerzett a Xubuntu honlapjához, és kicserélte a „Letöltés” gomb mögötti linket. Így az a látogató, aki rákattintott, nem az eredeti, biztonságos torrentfájlt kapta meg, hanem egy rosszindulatú ZIP-et. A megtévesztés tehát nem mély rendszerszintű, hanem „felszíni” volt. A felhasználó ugyanúgy a hivatalos weboldalon járt, csak a fájl, amit onnan letöltött, már nem az volt, aminek látszott.
A rosszindulatú program úgynevezett crypto clipper típusú kártevőnek bizonyult. Ez azt jelenti, hogy a háttérben futva figyeli a vágólapot (azt a részt, ahova a „másolás” funkció kerül), és ha valaki például egy kriptotárca címet másol be oda, a program automatikusan lecseréli a címet a támadó saját pénztárcájára. Így amikor az áldozat beilleszti a címet egy kriptoátutaláshoz, a pénz valójában a hackerekhez kerül. A fertőzött fájl tehát Windows-felhasználókat célzott, vagyis azokat, akik a Xubuntut épp most akarták kipróbálni, de még nem telepítették fel.
A Xubuntu weboldala WordPress alapú, vagyis egy széles körben használt tartalomkezelő rendszeren fut, amelyet számos másik oldalh is használ. A WordPress önmagában nem sebezhető, de a hozzáadott bővítmények, témák és adminisztrátori hozzáférések gyakran adnak támadási lehetőséget. Ebben az esetben valószínű, hogy vagy egy gyenge jelszóval védett adminisztrátori fiókot törtek fel, vagy egy plugin (kiegészítő modul) sebezhetőségén keresztül jutottak be, esetleg a hoszting szolgáltató környezetében volt valamilyen biztonsági rés, amelyen keresztül módosíthatták a weboldal fájljait.
A fejlesztők a fertőzés észlelése után azonnal lekapcsolták a letöltési oldalt, és megkezdték a források tisztítását. Az ISO-fájlok és az ellenőrzőösszegek (hash-ek) továbbra is érintetlenek maradtak. Ez az eset azért különösen tanulságos, mert nem a Linux rendszert támadták, hanem a bizalom láncolatát. Amikor valaki egy nyílt forráskódú disztribúciót tölt le, jellemzően bízik abban, hogy a hivatalos weboldal biztonságos. A támadók ezt a bizalmat használták ki.
Mit lehet tenni hasonló esetekben?
- Letöltés után mindig érdemes ellenőrizni a fájl SHA256-hashét, amelyet a hivatalos oldalon közzétesznek.
- Ha egy Linux-telepítő ZIP-ben Windows-fájl van, az mindig gyanús.
- A torrent vagy a tükörszerverek használata biztonságosabb, mert azok hash-ellenőrzéssel dolgoznak.