2月21日、Linux MintプロジェクトマネージャーのClement Lefebvre は、人気のあるディストリビューションのユーザーに 、プロジェクトの公式Webサイトが身元不明の個人によってハッキングされたことを通知しました 。 配布のダウンロードへのリンクは、トロイの木馬が組み込まれた変更されたシステムイメージへでした。
プロジェクトマネージャーは、明らかに、2月20日にサイトに存在していたLinux Mint 17.3 Cinnamonエディションバージョンのみが侵害されたと述べました。 このファイルをダウンロードした少数のユーザーは、このファイルを削除することをお勧めします。もちろん、どこにもインストールしないでください。 ダウンロードしたファイルを確認するには、Lefebrewがブログエントリで示したMD5ハッシュを使用できます。
これまでのところ、変更されたISOファイルはブルガリアでホストされていたことが知られており、その展開に関与した3人の名前がすでに明らかになっています。
調査の予備結果によると、Linux Mintチームは、WordPressの穴からハッカーがサーバーに侵入し、結果としてwww-data controlを得たと結論付けました。 その後、リンクを含むページを変更して、IP 5.104.175.212のブルガリア語サーバーを指すようになりました。
しかし、Linux Mintチームがリンクを修正し、ブログでこれを報告した後、ハッカーは再びリンクページを変更しました。 その結果、脅威が解決されなかったことが明らかになったため、linuxmint.comを一時的に完全に閉じることにしました。
Fox-ITのセキュリティスペシャリストYonathan Klijnsmaは、何が起こったかの彼のバージョンを提供しました。 彼は、Linux Mintのブログ投稿がハッキングされると発表される数時間前に、誰かがTheRealDeal (インターネットの「暗い」部分、Torの隠しサービスにある)のlinuxmintサイトで売りに出されたことに気付きました。
peace_of_mindというニックネームを持つハッカーは、シェルアクセス、phpメーラー、および0.1910の完全なフォーラムダンプを提供しました。 誰かがすでにそれを購入し、phpBBフォーラム構成ファイルをHacker Newsに配置しました。
// phpBB 3.0.x auto-generated configuration file // Do not change anything in this file! $dbms = 'mysql'; $dbhost = 'localhost'; $dbport = ''; $dbname = 'lms14'; $dbuser = 'lms14'; $dbpasswd = 'upMint';
「偽の」ISOファイルで見つかった変更は1つだけです。tsunami トロイの木馬は 、IRCボットのように機能し、DDOS攻撃に使用されるman.cyファイルに追加されました 。 彼は2013年以来知られています。
ハッカーがこのような軽薄なバックドアをディストリビューションに組み込み、販売サイトへのアクセスを許可し、サイト所有者が問題を解決したと思ったときにページを再度変更したという事実から判断すると、非常に経験の浅いグループがプロジェクトに取り組んだり、一人のアマチュア。 そして、この分布の人気を考えると、ケースの結果は成功と呼ぶことができます。