Nach Hackerangriff: Linux-Mint-Website verteilt ISO-Dateien mit Backdoor

Die Website der Linux-Distribution Mint hat am Samstag nach einem Hackerangriff vorübergehend mit einer Backdoor verseuchte ISO-Dateien zum Download angeboten. Besucher konnten die auf einem Server in Bulgarien gehosteten Dateien indes nicht als Fälschung erkennen, da der Hacker auch die auf der Seite hinterlegte Prüfsumme angepasst hat, die eigentlich der Verifizierung des Downloads dienen soll.

Im Gespräch mit ZDNet.com bekannte sich am Sonntag ein Hacker namens „Peace“ zu dem Angriff. Er habe nun „einige Hundert“ Linux-Installationen unter seiner Kontrolle. Darüber hinaus ist es ihm insgesamt zweimal gelungen – am 28. Januar und am 18. Februar – das vollständige Forum der Mint-Website zu stehlen. Die Daten enthalten unter anderem E-Mail-Adressen, Geburtsdaten, Profilbilder sowie verschlüsselte Passwörter von Linux-Mint-Nutzern – die sich allerdings durch die Verwendung einer unsicheren Verschlüsselungsmethode knacken lassen beziehungsweise in einigen Fällen bereits geknackt wurden.

Der Hacker entdeckte nach eigenen Angaben im Januar eine Sicherheitslücke in der Mint-Website. Sie habe es ihm unter anderem erlaubt, sich als Clement Lefebvre, Chef des Mint-Projekts, bei einer Administratorkonsole anzumelden. Am Samstag habe er dann eine ISO-Datei der 64-Bit-Version von Linux Mint ausgetauscht. Er habe nur wenige Stunden benötigt, um in seine Version die Malware „Tsunami“ einzubauen.

Tsunami wiederum wird laut Yonathan Klijnsma, Senior Threat Analyst bei Fox-IT, oft für Denial-of-Service-Angriffe benutzt. „Tsunami ist ein leicht zu konfigurierender Bot, der mit einem IRC-Server kommuniziert und sich einem vordefinierten Channel anschließt.“ Tsunami führe aber nicht nur webbasierte Angriffe aus, sondern auch Befehle, beispielsweise um weitere Schadsoftware herunterzuladen. Tsunami könne sich zudem selbst deinstallieren, um keine Spuren auf einem infizierten Gerät zu hinterlassen.

Zu seinen Motiven machte der Hacker indes keine konkreten Angaben. Das von ihm aufgebaute Botnet sei noch aktiv. Die Zahl der Bots habe sich seit Bekanntwerden des Angriffs aber „deutlich reduziert“. Den künftigen Einsatz des Botnets für kriminelle Zwecke schloss er trotzdem nicht aus.

Die Daten der Nutzer des Mint-Forums bietet der Hacker schon jetzt zum Kauf an. Eine Kopie der Datenbank kostet dort derzeit 0,197 Bitcoin, also rund 85 Dollar. Etwa 71.000 betroffene Konten hat inzwischen die Website HaveIBeenPwned erfasst, weniger als die Hälfte aller gehackten Konten. Nutzer, die befürchten, sie könnten Linux Mint aus einer manipulierten ISO-Datei installiert haben, können ihre E-Mail-Adresse in der Datenbank der Website suchen.

Lefebvre bestätigte am Samstag den Angriff auf Linuxmint.com. „Soweit wir wissen wurde nur Linux Mint 17.3 Cinnamon Edition kompromittiert“, sagte er. „Wenn Sie ein anderes Release oder eine andere Ausgabe heruntergeladen haben, sind Sie nicht betroffen.“ Das gelte auch für Nutzer, die ISO-Dateien per Torrent oder direktem HTTP-Link heruntergeladen hätten.

Die manipulierte ISO-Datei hat Lefebvre noch am Samstag entfernt. Die Website ist seitdem offline. Gehackt wurde sie ihm zufolge durch eine Sicherheitslücke in einer veralteten WordPress-Installation. Dass LinuxMint.com keine Verschlüsselung benutzt, habe den Angriff indes nicht begünstigt. „Sie hätten dieselben gehackten Daten auch per HTTPS erhalten“, ergänzte er.

[mit Material von Zack Whittaker, ZDNet.com]

Tipp: Kennen Sie die berühmtesten Hacker? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.