Backdoor in Linux Mint-iso maakt mogelijk 50 slachtoffers
Mogelijk 50 mensen zijn dit weekend slachtoffer geworden van de aanval die op de website van Linuxdistributie Linux Mint plaatsvond, dat laat anti-virusbedrijf Kaspersky Lab in een analyse weten. Volgens Linux Mint wist een 'enkel individu zonder financiering' via WordPress de website te hacken.
Daar werden links naar een iso-bestand vervangen door links die naar een iso-bestand op een andere server wezen. Het ging om versies van Linux Mint waar een eenvoudige backdoor aan was toegevoegd, aldus Kaspersky Lab. De backdoor is via een onversleutelde irc-verbinding aan te sturen. In totaal bleek de backdoor adressen van vijf irc-kanalen te gebruiken, waarvan er één online was. In het irc-kanaal vonden de onderzoekers zo'n 50 machines die via de backdoor verbinding hadden gemaakt.
Het is echter onduidelijk of dit allemaal machines zijn waarop de gebackdoorde iso is geïnstalleerd, of dat mogelijk andere onderzoekers verbinding met het kanaal hebben gemaakt. De backdoor maakt het mogelijk om besmette machines DDoS-aanvallen uit te laten voeren, willekeurige bestanden op de computer te installeren of willekeurige opdrachten uit te voeren. Tijdens het monitoren van het irc-kanaal werden er verschillende opdrachten naar de besmette computers gestuurd, waarbij de aanvaller naar netwerkschijven op het lokale netwerk van het slachtoffer zocht.
Integriteit
Om de integriteit van een download te controleren wordt vaak aangeraden om de MD5- of SHA-256-hash te berekenen. Op de website plaatst de leverancier de MD5- of SHA-256-hash. De gebruiker downloadt het bestand en kan vervolgens zelf de hashwaarde van het gedownloade bestand berekenen. Die moet overeenkomen met de waarde op de website, anders is het bestand tijdens het downloaden mogelijk aangepast.
Volgens Kaspersky Lab is dit een onveilige methode als de website van een distributie of aanbieder is gehackt, aangezien de aanvaller in dit geval ook de controle-hashes kan aanpassen die op de website worden vermeld. De virusbestrijder pleit dan ook voor PKI met sterke cryptografische handtekeningen om de integriteit van gedownloade software te controleren.
Update
In een interview met ZDNet laat de aanvaller weten dat de backdoor op een "paar honderd" machines actief is. De aangepaste iso-bestanden zouden bij elkaar meer dan 1.000 keer zijn gedownload. Na het nieuws over de backdoor nam het aantal besmette machines echter snel af. Daarnaast zijn ook de gegevens van het Linux Mint-forum gestolen. Het gaat om e-mailadressen, gebruikersnaam, versleutelde wachtwoorden en privéberichten die via het forum zijn verstuurd. De ontwikkelaars adviseren alle gebruikers dan ook om hun wachtwoord te wijzigen.
Hacker geeft aan sinds eind januari al toegang gehad te hebben tot de site en pas bijna een maand later een gehackte iso plaatsen??
De wel heel simpele trojan die geplaatst is bij de hack komt op mij over als een misleiding om is anders te verbergen.
"As far as we know, the only compromised edition was Linux Mint 17.3 Cinnamon edition."
As far as we know -klinkt ook niet echt heel zelfverzekerd.
Hacker geeft aan sinds eind januari al toegang gehad te hebben tot de site en pas bijna een maand later een gehackte iso plaatsen??
De wel heel simpele trojan die geplaatst is bij de hack komt op mij over als een misleiding om is anders te verbergen.
"As far as we know, the only compromised edition was Linux Mint 17.3 Cinnamon edition."
As far as we know -klinkt ook niet echt heel zelfverzekerd.
Zonder een hele discussie over de kwaliteit van Linux Mint te krijgen; ik zou je sowieso een andere distro aanraden die wat minder gericht is op eye candy maar erg responsief is met security updates; denk aan Debian of zelf Debian Testing.
Ubuntu patched volgens mij ook redelijk snel en is ook gebruiksvriendelijk qua desktop distro.
"
Heyo, it seems like the download pages still point to the hacked ISOs.
Honestly, the only reason why I noticed is because I was downloading the ISOs in bulk using wget, I saw a strange IP address and the fact that it was a PHP file.
Anyway, are the download pages going to be fixed anytime soon? I want to burn a CD for an old family friend… He got scammed by the “windows tech support” scammers and I want to show him the joys of Linux Mint!
Edit by Clem: Thanks for reporting this, this is a second attack so it means we’re still vulnerable. I’m shutting the server down right now."
http://blog.linuxmint.com/?p=2994
Niet best voor het vertrouwen dit.
Open een speciale rekening voor buitenlandse vakanties. Zorg dat daar nog minder geld op staat en boek dat zo snel mogelijk na de vakantie weer weg.
Peter
Hacker geeft aan sinds eind januari al toegang gehad te hebben tot de site en pas bijna een maand later een gehackte iso plaatsen??
De wel heel simpele trojan die geplaatst is bij de hack komt op mij over als een misleiding om is anders te verbergen.
"As far as we know, the only compromised edition was Linux Mint 17.3 Cinnamon edition."
As far as we know -klinkt ook niet echt heel zelfverzekerd.
Zonder een hele discussie over de kwaliteit van Linux Mint te krijgen; ik zou je sowieso een andere distro aanraden die wat minder gericht is op eye candy maar erg responsief is met security updates; denk aan Debian of zelf Debian Testing.
Ubuntu patched volgens mij ook redelijk snel en is ook gebruiksvriendelijk qua desktop distro.
Hoe zit het met de Debian Edition van Linux Mint (en dan security updates t/m level 5 aanzetten)?
Is die wel/meer aan te bevelen dan de gewone Linux Mint?
Debian zelf heb ik nogal moeizaam gevonden de laatste keer dat ik het probeerde.
MakuluLinux heb ik ook nog geprobeerd, Debian based maar die voelde ook wat traag aan
Deze posting is gelocked. Reageren is niet meer mogelijk.
Toezichthouder informatiebeveiliging Overheid
Rijksinspectie Digitale Infrastructuur (RDI)
Vind je het leuk om als toezichthouder bij te dragen aan de verdere groei in informatie-beveiliging van de overheid en in contact te staan met (belangen) organisaties binnen de overheid? Dan kun je komen bouwen aan toezicht op een veilige en betrouwbare Digitale Infrastructuur in Nederland.
Adviseur Informatiebeveiliging
Je bent een belangrijke speler om invulling te geven aan de gemeentelijke ambities op het gebied van informatiebeveiliging. Deze ambities neem jij op in het Informatie-beveiligingsbeleid Gemeente Zoetermeer. Wil je helpen bij het verbeteren van de informatiebeveiliging in Zoetermeer en het versterken van het cyberbewustzijn binnen onze organisatie? Wacht dan niet en kom ons team informatiebeveiliging versterken!
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.