Linux Mint: ISO-Dateien enthielten Backdoor

(Bild: Linuxmint)

Die Linux-Distribution Mint wurde zeitweise als ISO-Image mitsamt einer Backdoor zum Download angeboten. Angreifer hatten sich am Server des Projekts vergangen, eine gefälschte Version integriert und diese dann verbreitet.

Eine Gruppe von Angreifern hat die Linux-Distribution Mint infiltriert und vorübergehend eine mit einer Backdoor verseuchte ISO-Datei über den offiziellen Server des Projekts zum Download angeboten. Sogar die Prüfsumme der Linux-Distribution hatten die Hacker geändert, damit der Angriff niemanden von Außen auffallen konnte.

Im Gespräch mit ZDNet.com bekannte sich am Sonntag ein Hacker namens „Peace“ zu dem Angriff. Er habe nun „einige Hundert“ Linux-Installationen unter seiner Kontrolle. Darüber hinaus ist es ihm insgesamt zweimal gelungen – am 28. Januar und am 18. Februar – das vollständige Forum der Mint-Website zu stehlen. Die Daten enthalten unter anderem E-Mail-Adressen, Geburtsdaten, Profilbilder sowie verschlüsselte Passwörter von Linux-Mint-Nutzern – die sich allerdings durch die Verwendung einer unsicheren Verschlüsselungsmethode knacken lassen beziehungsweise in einigen Fällen bereits geknackt wurden.

Der Hacker entdeckte nach eigenen Angaben im Januar eine Sicherheitslücke in der Mint-Website. Sie habe es ihm unter anderem erlaubt, sich als Clement Lefebvre, Chef des Mint-Projekts, bei einer Administratorkonsole anzumelden. Am Samstag habe er dann eine ISO-Datei der 64-Bit-Version von Linux Mint ausgetauscht. Er habe nur wenige Stunden benötigt, um in seine Version die Malware „Tsunami“ einzubauen.

Tsunami wiederum wird laut Yonathan Klijnsma, Senior Threat Analyst bei Fox-IT, oft für Denial-of-Service-Angriffe benutzt. „Tsunami ist ein leicht zu konfigurierender Bot, der mit einem IRC-Server kommuniziert und sich einem vordefinierten Channel anschließt.“ Tsunami führe aber nicht nur webbasierte Angriffe aus, sondern auch Befehle, beispielsweise um weitere Schadsoftware herunterzuladen. Tsunami könne sich zudem selbst deinstallieren, um keine Spuren auf einem infizierten Gerät zu hinterlassen.

Zu seinen Motiven machte der Hacker indes keine konkreten Angaben. Das von ihm aufgebaute Botnet sei noch aktiv. Die Zahl der Bots habe sich seit Bekanntwerden des Angriffs aber „deutlich reduziert“. Den künftigen Einsatz des Botnets für kriminelle Zwecke schloss er trotzdem nicht aus.

Die Daten der Nutzer des Mint-Forums bietet der Hacker schon jetzt zum Kauf an. Eine Kopie der Datenbank kostet dort derzeit 0,197 Bitcoin, also rund 85 Dollar. Etwa 71.000 betroffene Konten hat inzwischen die Website HaveIBeenPwned erfasst, weniger als die Hälfte aller gehackten Konten. Nutzer, die befürchten, sie könnten Linux Mint aus einer manipulierten ISO-Datei installiert haben, können ihre E-Mail-Adresse in der Datenbank der Website suchen.

Lefebvre bestätigte am Samstag den Angriff auf Linuxmint.com. „Soweit wir wissen wurde nur Linux Mint 17.3 Cinnamon Edition kompromittiert“, sagte er. „Wenn Sie ein anderes Release oder eine andere Ausgabe heruntergeladen haben, sind Sie nicht betroffen.“ Das gelte auch für Nutzer, die ISO-Dateien per Torrent oder direktem HTTP-Link heruntergeladen hätten.

Die manipulierte ISO-Datei hat Lefebvre noch am Samstag entfernt. Die Website ist seitdem offline. Gehackt wurde sie ihm zufolge durch eine Sicherheitslücke in einer veralteten WordPress-Installation. Dass LinuxMint.com keine Verschlüsselung benutzt, habe den Angriff indes nicht begünstigt. „Sie hätten dieselben gehackten Daten auch per HTTPS erhalten“, ergänzte er.

Tags :Quellen:Mit Material von Stefan Beiersmann, ZDNet.de

Hinterlasse eine Antwort

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *

Advertising