21.30.04 Хакери зламали сайт Linux Mint і підмінили офіційний дистрибутив ОС на версію з вбудованим трояном | |
 Під час минулих вихідних керівник проекту Linux Mint, Клемент Лефебр [Clement Lefebvre], повідомив користувачів популярного дистрибутива, що офіційний сайт проекту був зламаний невідомими особами. Посилання на скачування дистрибутива вели на змінені образи системи, в які був вбудований троян. Керівник проекту повідомив, що скомпрометованою виявилася, судячи з усього, тільки версія Linux Mint 17.3 Cinnamon edition, посилання на яку існувала на сайті 20 лютого. Тим небагатьом користувачам, які завантажили її, рекомендується видалити цей файл - і, природно, нікуди її не встановлювати. Для перевірки завантажених файлів можна використовувати MD5 хеші, які Лефебр вказав в запису в блозі. За попередніми результатами розслідування команда Linux Mint зробила висновок, що хакери проникли на сервер через дірку в WordPress, і в результаті отримали управління www-data. Потім вони змогли змінити сторінку з посиланнями так, що ті стали вказувати на болгарський сервер з IP 5.104.175.212. Однак після того, як команда Linux Mint виправила посилання і повідомила про це в своєму блозі, хакери знову змінили сторінку з посиланнями. В результаті було вирішено тимчасово повністю закрити linuxmint.com, оскільки стало очевидно, що загроза не усунуто. Спеціаліст з безпеки Йонатан Клійнсма з компанії Fox-IT запропонував свою версію того, що сталося. Він звернув увагу, що за кілька годин до оголошення в блозі Linux Mint про злом, хтось виставив на продаж на сайті TheRealDeal (що знаходиться в «темній» частини інтернету, на прихованих сервісах Tor) доступ на сайт linuxmint. Хакер під ніком peace_of_mind пропонував шелл-доступ, php mailer і повний дамп форуму за 0.1910. У «підроблених» ISO-файлах було знайдено лише одна зміна - в файл man.cy був доданий троян tsunami, який працює як IRC-бот і використовується для DDOS-АТТАК. Він відомий ще з 2013 року. Судячи з того, що хакери вбудували в дистрибутив такий несерйозний «чорний хід», виставили на продаж доступ до сайту, а потім ще й видали себе, повторно помінявши сторінку, коли власники сайту вважали, що усунули проблему - над проектом працювала дуже недосвідчена група або всього один початківець хакер. Втім, не можна виключати і можливість відволікаючого маневру з незрозумілими поки мотивами. Джерело: Linux Mint Blog, Geektimes | |
|
| |
| Всього коментарів: 0 | |