image

Backdoor in Linux Mint-iso maakt mogelijk 50 slachtoffers

maandag 22 februari 2016, 12:06 door Redactie, 11 reacties
Laatst bijgewerkt: 22-02-2016, 13:14

Mogelijk 50 mensen zijn dit weekend slachtoffer geworden van de aanval die op de website van Linuxdistributie Linux Mint plaatsvond, dat laat anti-virusbedrijf Kaspersky Lab in een analyse weten. Volgens Linux Mint wist een 'enkel individu zonder financiering' via WordPress de website te hacken.

Daar werden links naar een iso-bestand vervangen door links die naar een iso-bestand op een andere server wezen. Het ging om versies van Linux Mint waar een eenvoudige backdoor aan was toegevoegd, aldus Kaspersky Lab. De backdoor is via een onversleutelde irc-verbinding aan te sturen. In totaal bleek de backdoor adressen van vijf irc-kanalen te gebruiken, waarvan er één online was. In het irc-kanaal vonden de onderzoekers zo'n 50 machines die via de backdoor verbinding hadden gemaakt.

Het is echter onduidelijk of dit allemaal machines zijn waarop de gebackdoorde iso is geïnstalleerd, of dat mogelijk andere onderzoekers verbinding met het kanaal hebben gemaakt. De backdoor maakt het mogelijk om besmette machines DDoS-aanvallen uit te laten voeren, willekeurige bestanden op de computer te installeren of willekeurige opdrachten uit te voeren. Tijdens het monitoren van het irc-kanaal werden er verschillende opdrachten naar de besmette computers gestuurd, waarbij de aanvaller naar netwerkschijven op het lokale netwerk van het slachtoffer zocht.

Integriteit

Om de integriteit van een download te controleren wordt vaak aangeraden om de MD5- of SHA-256-hash te berekenen. Op de website plaatst de leverancier de MD5- of SHA-256-hash. De gebruiker downloadt het bestand en kan vervolgens zelf de hashwaarde van het gedownloade bestand berekenen. Die moet overeenkomen met de waarde op de website, anders is het bestand tijdens het downloaden mogelijk aangepast.

Volgens Kaspersky Lab is dit een onveilige methode als de website van een distributie of aanbieder is gehackt, aangezien de aanvaller in dit geval ook de controle-hashes kan aanpassen die op de website worden vermeld. De virusbestrijder pleit dan ook voor PKI met sterke cryptografische handtekeningen om de integriteit van gedownloade software te controleren.

Update

In een interview met ZDNet laat de aanvaller weten dat de backdoor op een "paar honderd" machines actief is. De aangepaste iso-bestanden zouden bij elkaar meer dan 1.000 keer zijn gedownload. Na het nieuws over de backdoor nam het aantal besmette machines echter snel af. Daarnaast zijn ook de gegevens van het Linux Mint-forum gestolen. Het gaat om e-mailadressen, gebruikersnaam, versleutelde wachtwoorden en privéberichten die via het forum zijn verstuurd. De ontwikkelaars adviseren alle gebruikers dan ook om hun wachtwoord te wijzigen.

Reacties (11)
22-02-2016, 12:17 door [Account Verwijderd] - Bijgewerkt: 22-02-2016, 12:21
[Verwijderd]
22-02-2016, 13:40 door Anoniem
Ik weet het niet, zouden jullie Linux Mint nog vertrouwen (voor bankzaken)?
Hacker geeft aan sinds eind januari al toegang gehad te hebben tot de site en pas bijna een maand later een gehackte iso plaatsen??
De wel heel simpele trojan die geplaatst is bij de hack komt op mij over als een misleiding om is anders te verbergen.

"As far as we know, the only compromised edition was Linux Mint 17.3 Cinnamon edition."
As far as we know -klinkt ook niet echt heel zelfverzekerd.
22-02-2016, 15:18 door [Account Verwijderd]
[Verwijderd]
22-02-2016, 15:35 door Anoniem
As far as we know -klinkt ook niet echt heel zelfverzekerd.
MAar wel realistischer dan uitsluiten wat niet uit te sluiten valt...
22-02-2016, 16:57 door Anoniem
Door Anoniem: Ik weet het niet, zouden jullie Linux Mint nog vertrouwen (voor bankzaken)?
Hacker geeft aan sinds eind januari al toegang gehad te hebben tot de site en pas bijna een maand later een gehackte iso plaatsen??
De wel heel simpele trojan die geplaatst is bij de hack komt op mij over als een misleiding om is anders te verbergen.

"As far as we know, the only compromised edition was Linux Mint 17.3 Cinnamon edition."
As far as we know -klinkt ook niet echt heel zelfverzekerd.

Zonder een hele discussie over de kwaliteit van Linux Mint te krijgen; ik zou je sowieso een andere distro aanraden die wat minder gericht is op eye candy maar erg responsief is met security updates; denk aan Debian of zelf Debian Testing.
Ubuntu patched volgens mij ook redelijk snel en is ook gebruiksvriendelijk qua desktop distro.
22-02-2016, 17:34 door Anoniem
De 21st is er ook een breach geweest:
"
Heyo, it seems like the download pages still point to the hacked ISOs.
Honestly, the only reason why I noticed is because I was downloading the ISOs in bulk using wget, I saw a strange IP address and the fact that it was a PHP file.

Anyway, are the download pages going to be fixed anytime soon? I want to burn a CD for an old family friend… He got scammed by the “windows tech support” scammers and I want to show him the joys of Linux Mint!

Edit by Clem: Thanks for reporting this, this is a second attack so it means we’re still vulnerable. I’m shutting the server down right now."

http://blog.linuxmint.com/?p=2994
22-02-2016, 19:39 door Nietsnut
Eigenlijk best wel slordig en een kwalijke zaak daar sta je dan met een out of the box goed en veilig besturingssysteem vervolgens ben je jaren bezig met het ontwikkelen en wordt je op zo,n knullige manier te kakken gezet.
Niet best voor het vertrouwen dit.
22-02-2016, 23:31 door Anoniem
de site zelf is ook gehacked. userdatabase staat op internet.. zou snel je wachtwoorden veranderen als je dezelfde gebruikt op andere plekken
23-02-2016, 09:15 door Anoniem
Door Buran:Hou je saldo op je lopende rekening beperkt en geef een limiet op bij de bank hoeveel je rood mag staan. (b.v. 0,-)

Open een speciale rekening voor buitenlandse vakanties. Zorg dat daar nog minder geld op staat en boek dat zo snel mogelijk na de vakantie weer weg.

Peter
23-02-2016, 09:21 door Anoniem
Zal net 1 van die 50 net willen overstappen van Windows omdat hij denkt veiliger te zijn, krijg je een besmette ISO....
23-02-2016, 10:57 door Anoniem
Door Anoniem:
Door Anoniem: Ik weet het niet, zouden jullie Linux Mint nog vertrouwen (voor bankzaken)?
Hacker geeft aan sinds eind januari al toegang gehad te hebben tot de site en pas bijna een maand later een gehackte iso plaatsen??
De wel heel simpele trojan die geplaatst is bij de hack komt op mij over als een misleiding om is anders te verbergen.

"As far as we know, the only compromised edition was Linux Mint 17.3 Cinnamon edition."
As far as we know -klinkt ook niet echt heel zelfverzekerd.

Zonder een hele discussie over de kwaliteit van Linux Mint te krijgen; ik zou je sowieso een andere distro aanraden die wat minder gericht is op eye candy maar erg responsief is met security updates; denk aan Debian of zelf Debian Testing.
Ubuntu patched volgens mij ook redelijk snel en is ook gebruiksvriendelijk qua desktop distro.

Hoe zit het met de Debian Edition van Linux Mint (en dan security updates t/m level 5 aanzetten)?
Is die wel/meer aan te bevelen dan de gewone Linux Mint?
Debian zelf heb ik nogal moeizaam gevonden de laatste keer dat ik het probeerde.
MakuluLinux heb ik ook nog geprobeerd, Debian based maar die voelde ook wat traag aan
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.