Linux Mint: Gefälschtes Mint-Image mit Hintertür im Umlauf
Am 20. Februar wurden über die Download-Server der Distribution Linux Mint gefälschte ISO-Images ausgeliefert. Projektleiter Clement Lefevbre warnte im Mint-Blog vor der Verwendung dieser Images. Der Download-Server ist nach einer zweiten Attacke mittlerweile vom Netz genommen.
Gestern wurden über die offiziellen Download-Server der Distribution Linux Mint gefälschte ISO-Images mit einer Hintertür verteilt. Angreifern ist es gelungen ein solcherart modifiziertes Image zu konstruieren, um die Webseite von Linux Mint unter ihre Kontrolle zu bringen und die Download-Links auf das manipulierte Image umzubiegen. Dazu wurde eine Wordpress-Instanz gehackt, die dann den Zugriff auf das Verzeichnis www-data ermöglichte.
Die ursprüngliche Warnung von Projektleiter Clement Lefevbre bezog sich auf das Image für Linux Mint 17.3 Cinnamon und auf den 20. Februar. Laut seiner Aussage waren weder Torrents noch Downloads über einen direkten HTTP-Link betroffen.
Dann entdeckte in den frühen Morgenstunden ein Anwender rein zufällig, dass immer noch ein gefälschtes Image im Download war. Er hatte eine größere Zahl an Images auf einmal per wget heruntergeladen. Dabei fiel ihm ein abweichender Link bei einem der Images auf. Lefebvre nahm nach dieser zweiten Attacke den Download-Server vom Netz. Derzeit sind immer noch keine Downloads direkt über die Mint-Plattform möglich. Torrents funktionieren weiterhin.
Image überprüfen
Anwender, die glauben, betroffen zu sein, haben mehrere Wege, dies zu überprüfen. Neben der Überprüfung der in der Meldung abgedruckten Md5-Summen kann auch das betroffene Image gebootet werden, nachdem zuvor die Verbindung zum Netzwerk getrennt wurde. Findet sich in /var/lib/ eine Datei namens man.cy, so ist das Image korrupt. Der zweite Weg ist dabei zuverlässiger, da die Seiten von Linux Mint nicht per HTTPS ausgeliefert werden und somit die Md5-Hashes gefälscht sein könnten.
Falls ein solches Image installiert wurde, sollte das Gerät sofort vom Netz genommen und persönliche Daten, so vorhanden, gesichert werden. Die betroffene Partition sollte daraufhin formatiert werden. Passwörter, die über diese Installation für die Hacker erreichbar waren, sind zu erneuern.
Die Spur der Hacker führt nach Bulgarien, die IP und die Domain sind bekannt, eine Motivation ist derzeit jedoch nicht ersichtlich.
Nicht nur ein Image von Linux Mint wurde kompromittiert, auch das Forum unter forums.linuxmint.com ist betroffen. Anwender mit einem Konto dort werden automatisch zum Ändern ihres Passworts aufgefordert werden, sobald das Forum wieder online ist. Wer das Passwort für das Mint-Forum noch an anderer Stelle nutzt, sollte dringend auch dort das Passwort ändern.
Die Datenbank des Forums wurde bereits gestern für 85 US-Dollar zum Kauf angeboten. Den Einbrechern fiel das gesamte Forum mit Namen, E-Mail-Adressen, verschlüsselten Passwörtern, Profilen und privaten Nachrichten in die Hände.