Die Website der Linux-Distribution Mint hat am Samstag nach einem Hackerangriff vorübergehend mit einer Backdoor verseuchte ISO-Dateien zum Download angeboten. Besucher konnten die auf einem Server in Bulgarien gehosteten Dateien indes nicht als Fälschung erkennen, da der Hacker auch die auf der Seite hinterlegte Prüfsumme angepasst hat, die eigentlich der Verifizierung des Downloads dienen soll.
Im Gespräch mit ZDNet.com bekannte sich am Sonntag ein Hacker namens „Peace“ zu dem Angriff. Er habe nun „einige Hundert“ Linux-Installationen unter seiner Kontrolle. Darüber hinaus ist es ihm insgesamt zweimal gelungen – am 28. Januar und am 18. Februar – das vollständige Forum der Mint-Website zu stehlen. Die Daten enthalten unter anderem E-Mail-Adressen, Geburtsdaten, Profilbilder sowie verschlüsselte Passwörter von Linux-Mint-Nutzern – die sich allerdings durch die Verwendung einer unsicheren Verschlüsselungsmethode knacken lassen beziehungsweise in einigen Fällen bereits geknackt wurden.
Der Hacker entdeckte nach eigenen Angaben im Januar eine Sicherheitslücke in der Mint-Website. Sie habe es ihm unter anderem erlaubt, sich als Clement Lefebvre, Chef des Mint-Projekts, bei einer Administratorkonsole anzumelden. Am Samstag habe er dann eine ISO-Datei der 64-Bit-Version von Linux Mint ausgetauscht. Er habe nur wenige Stunden benötigt, um in seine Version die Malware „Tsunami“ einzubauen.
Tsunami wiederum wird laut Yonathan Klijnsma, Senior Threat Analyst bei Fox-IT, oft für Denial-of-Service-Angriffe benutzt. „Tsunami ist ein leicht zu konfigurierender Bot, der mit einem IRC-Server kommuniziert und sich einem vordefinierten Channel anschließt.“ Tsunami führe aber nicht nur webbasierte Angriffe aus, sondern auch Befehle, beispielsweise um weitere Schadsoftware herunterzuladen. Tsunami könne sich zudem selbst deinstallieren, um keine Spuren auf einem infizierten Gerät zu hinterlassen.
Zu seinen Motiven machte der Hacker indes keine konkreten Angaben. Das von ihm aufgebaute Botnet sei noch aktiv. Die Zahl der Bots habe sich seit Bekanntwerden des Angriffs aber „deutlich reduziert“. Den künftigen Einsatz des Botnets für kriminelle Zwecke schloss er trotzdem nicht aus.
Die Daten der Nutzer des Mint-Forums bietet der Hacker schon jetzt zum Kauf an. Eine Kopie der Datenbank kostet dort derzeit 0,197 Bitcoin, also rund 85 Dollar. Etwa 71.000 betroffene Konten hat inzwischen die Website HaveIBeenPwned erfasst, weniger als die Hälfte aller gehackten Konten. Nutzer, die befürchten, sie könnten Linux Mint aus einer manipulierten ISO-Datei installiert haben, können ihre E-Mail-Adresse in der Datenbank der Website suchen.
Wie KMUs durch den Einsatz von Virtualisierung Kosten sparen und die Effizienz steigern
Das Webinar “Wie KMUs durch den Einsatz von Virtualisierung Kosten sparen und die Effizienz steigern” informiert Sie über die Vorteile von Virtualisierung und skizziert die technischen Grundlagen, die für eine erfolgreiche Implementierung nötig sind. Jetzt registrieren und Aufzeichnung ansehen.
Lefebvre bestätigte am Samstag den Angriff auf Linuxmint.com. „Soweit wir wissen wurde nur Linux Mint 17.3 Cinnamon Edition kompromittiert“, sagte er. „Wenn Sie ein anderes Release oder eine andere Ausgabe heruntergeladen haben, sind Sie nicht betroffen.“ Das gelte auch für Nutzer, die ISO-Dateien per Torrent oder direktem HTTP-Link heruntergeladen hätten.
Die manipulierte ISO-Datei hat Lefebvre noch am Samstag entfernt. Die Website ist seitdem offline. Gehackt wurde sie ihm zufolge durch eine Sicherheitslücke in einer veralteten WordPress-Installation. Dass LinuxMint.com keine Verschlüsselung benutzt, habe den Angriff indes nicht begünstigt. „Sie hätten dieselben gehackten Daten auch per HTTPS erhalten“, ergänzte er.
[mit Material von Zack Whittaker, ZDNet.com]
Tipp: Kennen Sie die berühmtesten Hacker? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.
Neueste Kommentare
2 Kommentare zu Nach Hackerangriff: Linux-Mint-Website verteilt ISO-Dateien mit Backdoor
Kommentar hinzufügenVielen Dank für Ihren Kommentar.
Ihr Kommentar wurde gespeichert und wartet auf Moderation.
Vor kurzem erst stand WordPress in der Schusslinie wegen Sicherheitslücken. Nutzer werden beständig ermahnt, ihre Software aktuell zu halten, und ausgerechnet die Entwicklerriege hält sich nicht daran.
Der Schuster hat die schlechtesten Schuhe.
mfg R.K.
„Gehackt wurde sie ihm zufolge durch eine Sicherheitslücke in einer veralteten WordPress-Installation.“
Das ist wichtig zu wissen, dass hier nicht das Betriebssystem schuld war, sondern eine nicht genügend abgesicherte WordPress-Installation.
Vermutlich auch noch mit dem gleichen User ausgeführt…