Hoe Linux Mint gehackt is

Hoe hebben de hackers zo ver kunnen komen?

Afgelopen weekend werd bekend dat de Linux Mint-website was gehackt en dat deze aangepaste iso-bestanden verspreidde. Deze aangepaste Linux Mint-distributie bevatte een backdoor. Hoe hebben de hackers het voor elkaar gekregen?

De op Ubuntu gebaseerde Linux-distributie Linux Mint heeft een tijdje in aangepaste vorm op de gelijknamige website gestaan. Hackers hadden van het weekend ingebroken op deze website en de downloads-link laten verwijzen naar een aangepaste versie van Linux Mint 17.3 (Cinnamon).




DDoS-IRC-Backdoor

De aangepaste download-link verwees naar een FTP-server in Bulgarije. De Linux-Mint-image op die server had een ingebouwde backdoor. Deze backdoor (tsunami) was een vrij simpele IRC-bot die normaalgesproken gebruikt wordt om DDoS-aanvallen uit te voeren. Deze aanpassing was gemaakt in het man.cy-bestand.

Tsunami wordt vaak ingezet om websites uit de lucht te halen, maar kan ook worden gebuikt om commando's uit te voeren of bestanden te downloaden naar het geïnfecteerde systeem. De werking van de bot is vrij simpel. Na activatie logt de bot in op een (al dan niet met wachtwoord beschermd) IRC-kanaal en wacht daar op commando's. De bot staat bekend om z'n mogelijkheid servers te overspoelen met een tsunami aan gegevens.

Hoewel de bot al behoorlijk oud is en in 2010 al het label "outdated" mee kreeg, wordt deze zo nu en dan nog steeds ingezet.

WordPress

De hackers hebben zichzelf toegang verschaft door in te breken op de WordPress-blog van de Linux Mint-website en zichzelf shell-toegang te geven tot de www-data map. Met deze toegang en rechten hebben zij de download pagina gewijzigd en laten verwijzen naar de FTP-servers in Bulgarije.

Toen het Linux-Mint-team de aanpassing ontdekte is de boel weer hersteld en is er een aankondiging de deur uit gedaan om gebruikers die op 20 februari een image-file hadden gedownload te waarschuwen. Dit was echter niet voldoende. De hackers wisten opnieuw binnen te komen en pasten de volledige download-pagina wederom aan.



Toen het team erachter kwam dat het niet was gelukt het lek op de website te dichten besloten de beheerders de gehele website tijdelijk offline te halen om te voorkomen dat de besmette bestanden nog verder zouden worden verspreid.

Ondertussen bleek de website zwaarder te zijn misbruikt dan het team in eerste instantie dacht. Yonathan Klijnsma van Foxit liet gisteravond in een tweet weten dat de hele Linux-Mint forumdatabase te koop staat op Darknet-markets voor 0,01910 BTC (Bitcoin). Dat komt op dit moment neer op ongeveer 83 euro. Het ziet er naar uit dat de database al tenminste één keer is aangeschaft. Een deel van het configuratiebestand is gedumpt in het forum van Hacker News.