Die Website der Linux-Distribution Mint hat am Samstag nach einem Hackerangriff vorübergehend mit einer Backdoor verseuchte ISO-Dateien zum Download angeboten. Besucher konnten die auf einem Server in Bulgarien gehosteten Dateien indes nicht als Fälschung erkennen, da der Hacker auch die auf der Seite hinterlegte Prüfsumme angepasst hat, die eigentlich der Verifizierung des Downloads dienen soll.
Der Hacker entdeckte nach eigenen Angaben im Januar eine Sicherheitslücke in der Mint-Website. Sie habe es ihm unter anderem erlaubt, sich als Clement Lefebvre, Chef des Mint-Projekts, bei einer Administratorkonsole anzumelden. Am Samstag habe er dann eine ISO-Datei der 64-Bit-Version von Linux Mint ausgetauscht. Er habe nur wenige Stunden benötigt, um in seine Version die Malware „Tsunami“ einzubauen.
Tsunami wiederum wird laut Yonathan Klijnsma, Senior Threat Analyst bei Fox-IT, oft für Denial-of-Service-Angriffe benutzt. „Tsunami ist ein leicht zu konfigurierender Bot, der mit einem IRC-Server kommuniziert und sich einem vordefinierten Channel anschließt.“ Tsunami führe aber nicht nur webbasierte Angriffe aus, sondern auch Befehle, beispielsweise um weitere Schadsoftware herunterzuladen. Tsunami könne sich zudem selbst deinstallieren, um keine Spuren auf einem infizierten Gerät zu hinterlassen.
Zu seinen Motiven machte der Hacker indes keine konkreten Angaben. Das von ihm aufgebaute Botnet sei noch aktiv. Die Zahl der Bots habe sich seit Bekanntwerden des Angriffs aber „deutlich reduziert“. Den künftigen Einsatz des Botnets für kriminelle Zwecke schloss er trotzdem nicht aus.
Die Daten der Nutzer des Mint-Forums bietet der Hacker schon jetzt zum Kauf an. Eine Kopie der Datenbank kostet dort derzeit 0,197 Bitcoin, also rund 85 Dollar. Etwa 71.000 betroffene Konten hat inzwischen die Website HaveIBeenPwned erfasst, weniger als die Hälfte aller gehackten Konten. Nutzer, die befürchten, sie könnten Linux Mint aus einer manipulierten ISO-Datei installiert haben, können ihre E-Mail-Adresse in der Datenbank der Website suchen.
Das Webinar “Wie KMUs durch den Einsatz von Virtualisierung Kosten sparen und die Effizienz steigern” informiert Sie über die Vorteile von Virtualisierung und skizziert die technischen Grundlagen, die für eine erfolgreiche Implementierung nötig sind. Jetzt registrieren und Aufzeichnung ansehen.
Lefebvre bestätigte am Samstag den Angriff auf Linuxmint.com. „Soweit wir wissen wurde nur Linux Mint 17.3 Cinnamon Edition kompromittiert“, sagte er. „Wenn Sie ein anderes Release oder eine andere Ausgabe heruntergeladen haben, sind Sie nicht betroffen.“ Das gelte auch für Nutzer, die ISO-Dateien per Torrent oder direktem HTTP-Link heruntergeladen hätten.
Die manipulierte ISO-Datei hat Lefebvre noch am Samstag entfernt. Die Website ist seitdem offline. Gehackt wurde sie ihm zufolge durch eine Sicherheitslücke in einer veralteten WordPress-Installation. Dass LinuxMint.com keine Verschlüsselung benutzt, habe den Angriff indes nicht begünstigt. „Sie hätten dieselben gehackten Daten auch per HTTPS erhalten“, ergänzte er.
[mit Material von Zack Whittaker, ZDNet.com]
Tipp: Kennen Sie die berühmtesten Hacker? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.
Bösartige QR-Codes, die per E-Mail versendet werden, eignen sich sehr gut, um Spam-Filter zu umgehen.
Unsichere Websites und Phishing-Mails in Verbindung mit Black Friday können kauffreudigen Konsumenten zum Verhängnis werden.
Malware SmokeLoader wird weiterhin von Bedrohungsakteuren genutzt, um Payloads über neue C2-Infrastrukturen zu verbreiten.
Bankhaus Metzler und Telekom-Tochter MMS testen, inwieweit Bitcoin-Miner das deutsche Stromnetz stabilisieren könnten.
Mit 1,7 Exaflops ist El Capitan nun der dritte Exascale-Supercomputer weltweit. Deutschland stellt erneut den…
Der deutsche Hyperscaler erweitert sein Server-Portfolio um vier Angebote mit den neuen AMD EPYC 4004…