Linux Mint mit Backdoor zum Download angeboten
Dem ging ein Hackerangriff auf die Website mit der Distribution voraus. Der Angreifer stahl auch eine komplette Kopie des Forums auf LinuxMint.com. Anhand der Hintertür kreiert er ein Botnet mit einigen Hundert verseuchten Linux-PCs. Eine alte Wordpress-Installation wurde zum Einfallstor.
Die Website, welche die Linux-Distribution Mint anbietet, hat am Samstag nach einer Hackerattacke zeitweilig mit einer Backdoor infizierte ISO-Dateien zum Download bereitgestellt. Die auf einem Server in Bulgarien gehosteten Dateien konnten von Besuchern nicht als Fälschung erkannt werden, weil der Hacker auch die auf der Seite gespeicherte Prüfsumme angepasst hat, die zur Verifizierung des Downloads gedacht ist.
Gegenüber ZDNet.com bekannte sich ein Hacker namens “Peace” am Sonntag zu der Attacke. Er habe inzwischen “einige Hundert” Linux-Installationen unter seiner Kontrolle. Überdies ist es ihm alles in allem zweimal gelungen – nämlich am 28. Januar und am 18. Februar – das komplette Forum der Mint-Website zu entwenden. Unter anderem umfassen die gestohlenen Daten E-Mail-Adressen, Geburtsdaten, Profilbilder sowie verschlüsselte Passwörter von Linux-Mint-Nutzern – die sich aufgrund des Einsatzes eines unsicheren Verschlüsselungsverfahrens allerdings knacken lassen – oder in einigen Fällen auch schon geknackt wurden.
Der Hacker entdeckte nach eigenen Angaben im Januar eine Sicherheitslücke in der Mint-Website. Sie habe es ihm unter anderem erlaubt, sich als Clement Lefebvre, Chef des Mint-Projekts, bei einer Administratorkonsole anzumelden. Am Samstag habe er dann eine ISO-Datei der 64-Bit-Version von Linux Mint ausgetauscht. Er habe lediglich wenige Stunden gebraucht, um in seine Version die Malware “Tsunami” zu integrieren.
Tsunami wird laut Yonathan Klijnsma, Senior Threat Analyst bei Fox-IT, wiederum oft für Denial-of-Service-Angriffe eingesetzt. “Tsunami ist ein leicht zu konfigurierender Bot, der mit einem IRC-Server kommuniziert und sich einem vordefinierten Channel anschließt.” Tsunami führe aber nicht nur webbasierte Angriffe aus, sondern auch Befehle, beispielsweise um weitere Schadsoftware nachzuladen. Tsunami könne sich zudem selbst deinstallieren, um keine Spuren auf einem infizierten Gerät zu hinterlassen.
Zu seinen Motiven machte der Hacker keine konkreten Angaben. Das von ihm aufgebaute Botnet sei noch aktiv. Die Zahl der Bots habe sich seit Bekanntwerden des Angriffs aber “deutlich reduziert”. Den künftigen Einsatz des Botnets für kriminelle Zwecke schloss er trotzdem nicht aus.
Die Nutzerdaten des Mint-Forums bietet der Hacker schon jetzt zum Kauf an. Eine Kopie der Datenbank kostet dort derzeit 0,197 Bitcoin, also knapp 85 Dollar. Rund 71.000 betroffene Konten hat inzwischen die Website HaveIBeenPwned erfasst, weniger als die Hälfte aller gehackten Konten. Nutzer, die befürchten, sie könnten Linux Mint aus einer manipulierten ISO-Datei installiert haben, können ihre E-Mail-Adresse in der Datenbank der Website suchen.
Lefebvre bestätigte am Samstag den Angriff auf Linuxmint.com. “Soweit wir wissen, wurde nur Linux Mint 17.3 Cinnamon Edition kompromittiert”, sagte er. “Wenn Sie ein anderes Release oder eine andere Ausgabe heruntergeladen haben, sind Sie nicht betroffen.” Das gelte auch für Nutzer, die ISO-Dateien per Torrent oder direktem HTTP-Link heruntergeladen hätten.
Die manipulierte ISO-Datei hat Lefebvre noch am Samstag entfernt. Die Website ist seitdem offline. Gehackt wurde sie ihm zufolge durch eine Sicherheitslücke in einer veralteten WordPress-Installation. Dass LinuxMint.com keine Verschlüsselung benutzt, habe den Angriff aber nicht begünstigt. “Sie hätten dieselben gehackten Daten auch per HTTPS erhalten”, ergänzte er.
[mit Material von Stefan Beiersmann, ZDNet.de]
Tipp: Kennen Sie die berühmtesten Hacker? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.