Mogelijk 50 mensen zijn dit weekend slachtoffer geworden van de aanval die op de website van Linuxdistributie Linux Mint plaatsvond, dat laat anti-virusbedrijf Kaspersky Lab in een analyse weten. Volgens Linux Mint wist een 'enkel individu zonder financiering' via WordPress de website te hacken.
Daar werden links naar een iso-bestand vervangen door links die naar een iso-bestand op een andere server wezen. Het ging om versies van Linux Mint waar een eenvoudige backdoor aan was toegevoegd, aldus Kaspersky Lab. De backdoor is via een onversleutelde irc-verbinding aan te sturen. In totaal bleek de backdoor adressen van vijf irc-kanalen te gebruiken, waarvan er één online was. In het irc-kanaal vonden de onderzoekers zo'n 50 machines die via de backdoor verbinding hadden gemaakt.
Het is echter onduidelijk of dit allemaal machines zijn waarop de gebackdoorde iso is geïnstalleerd, of dat mogelijk andere onderzoekers verbinding met het kanaal hebben gemaakt. De backdoor maakt het mogelijk om besmette machines DDoS-aanvallen uit te laten voeren, willekeurige bestanden op de computer te installeren of willekeurige opdrachten uit te voeren. Tijdens het monitoren van het irc-kanaal werden er verschillende opdrachten naar de besmette computers gestuurd, waarbij de aanvaller naar netwerkschijven op het lokale netwerk van het slachtoffer zocht.
Om de integriteit van een download te controleren wordt vaak aangeraden om de MD5- of SHA-256-hash te berekenen. Op de website plaatst de leverancier de MD5- of SHA-256-hash. De gebruiker downloadt het bestand en kan vervolgens zelf de hashwaarde van het gedownloade bestand berekenen. Die moet overeenkomen met de waarde op de website, anders is het bestand tijdens het downloaden mogelijk aangepast.
Volgens Kaspersky Lab is dit een onveilige methode als de website van een distributie of aanbieder is gehackt, aangezien de aanvaller in dit geval ook de controle-hashes kan aanpassen die op de website worden vermeld. De virusbestrijder pleit dan ook voor PKI met sterke cryptografische handtekeningen om de integriteit van gedownloade software te controleren.
In een interview met ZDNet laat de aanvaller weten dat de backdoor op een "paar honderd" machines actief is. De aangepaste iso-bestanden zouden bij elkaar meer dan 1.000 keer zijn gedownload. Na het nieuws over de backdoor nam het aantal besmette machines echter snel af. Daarnaast zijn ook de gegevens van het Linux Mint-forum gestolen. Het gaat om e-mailadressen, gebruikersnaam, versleutelde wachtwoorden en privéberichten die via het forum zijn verstuurd. De ontwikkelaars adviseren alle gebruikers dan ook om hun wachtwoord te wijzigen.
Deze posting is gelocked. Reageren is niet meer mogelijk.