Linux Mint verteilt Backdoor-Trojaner

Die Linux-Distribution Mint hat nach einem Hackerangriff am Samstag vorübergehend Backdoor-verseuchte ISO-Dateien zum Download angeboten. Besucher konnten die auf einem Server in Bulgarien gehosteten Dateien indes nicht als Fälschung erkennen, da der Hacker auch die auf der Seite hinterlegte Prüfsumme angepasst hat, die eigentlich der Verifizierung des Downloads dienen soll.

Im Gespräch mit ZDNet.com bekannte sich am Sonntag ein Hacker namens “Peace” zu dem Angriff. Er habe laut eigenen Angaben “einige Hundert” Linux-Installationen unter seiner Kontrolle. Darüber hinaus soll es dem Hacker zweimal gelungen sein, am 28. Januar und am 18. Februar, das vollständige Forum der Mint-Website zu stehlen. Die Daten enthalten unter anderem E-Mail-Adressen, Geburtsdaten, Profilbilder sowie verschlüsselte Passwörter von Linux-Mint-Nutzern. Diese lassen sich allerdings durch die Verwendung einer unsicheren Verschlüsselungsmethode knacken. In einigen Fällen sollen die Passwörter bereits geknackt worden sein.

Der Hacker entdeckte nach eigenen Angaben im Januar eine Sicherheitslücke in der Mint-Website. Sie habe es ihm unter anderem erlaubt, sich als Clement Lefebvre, Chef des Mint-Projekts, bei einer Administratorkonsole anzumelden. Am Samstag habe er dann eine ISO-Datei der 64-Bit-Version von Linux Mint ausgetauscht. Er habe nur wenige Stunden benötigt, um in seine Version die Malware “Tsunami” einzubauen.

Tsunami wiederum wird laut Yonathan Klijnsma, Senior Threat Analyst bei Fox-IT, oft für Denial-of-Service-Angriffe benutzt. “Tsunami ist ein leicht zu konfigurierender Bot, der mit einem IRC-Server kommuniziert und sich einem vordefinierten Channel anschließt.” Tsunami führe aber nicht nur webbasierte Angriffe aus, sondern auch Befehle, beispielsweise um weitere Schadsoftware herunterzuladen. Tsunami könne sich zudem selbst deinstallieren, um keine Spuren auf einem infizierten Gerät zu hinterlassen.

Zu seinen Motiven machte der Hacker indes keine konkreten Angaben. Das von ihm aufgebaute Botnet sei noch aktiv. Die Zahl der Bots habe sich seit Bekanntwerden des Angriffs aber “deutlich reduziert”. Den künftigen Einsatz des Botnets für kriminelle Zwecke schloss er trotzdem nicht aus.

Die Daten der Nutzer des Mint-Forums bietet der Hacker schon jetzt zum Kauf an. Eine Kopie der Datenbank kostet dort derzeit 0,197 Bitcoin, also rund 85 Dollar. Etwa 71.000 betroffene Konten hat inzwischen die Website HaveIBeenPwned erfasst, weniger als die Hälfte aller gehackten Konten. Nutzer, die befürchten, sie könnten Linux Mint aus einer manipulierten ISO-Datei installiert haben, können ihre E-Mail-Adresse in der Datenbank der Website suchen.

Lefebvre bestätigte am Samstag den Angriff auf Linuxmint.com. “Soweit wir wissen wurde nur Linux Mint 17.3 Cinnamon Edition kompromittiert”, sagte er. “Wenn Sie ein anderes Release oder eine andere Ausgabe heruntergeladen haben, sind Sie nicht betroffen.” Das gelte auch für Nutzer, die ISO-Dateien per Torrent oder direktem HTTP-Link heruntergeladen hätten.

Die manipulierte ISO-Datei hat Lefebvre noch am Samstag entfernt. Die Website ist seitdem offline. Gehackt wurde sie ihm zufolge durch eine Sicherheitslücke in einer veralteten WordPress-Installation. Dass LinuxMint.com keine Verschlüsselung benutzt, habe den Angriff indes nicht begünstigt. “Sie hätten dieselben gehackten Daten auch per HTTPS erhalten”, ergänzte er.

[mit Material von Stefan Beiersmann, ZDNet.com]

Tipp: Kennen Sie die berühmtesten Hacker? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.

Redaktion

Recent Posts

Einzelhändler nicht ausreichend auf Cyberangriffe vorbereitet

Studie zeigt, dass es im Einzelhandelssektor an Bereitschaft und Vertrauen in Datensicherungs- und Wiederherstellungsstrategien mangelt.

1 Tag ago

ZenRAT: Falscher Passwort-Manager entpuppt sich als Remote Access Trojaner

Die Hintermänner missbrauchen den guten Ruf des Passwort-Managers Bitwarden. Ein gefälschtes Installationspaket enthält den Trojaner…

2 Tagen ago

Kommentar: Energieeffizienzgesetz stärkt Ökobilanz der Digitalisierung

Es braucht mehr Maßnahmen, um die Nachhaltigkeitspotentiale digitaler Infrastrukturen flächendeckend zu heben, sagt Béla Waldhauser,…

3 Tagen ago

Herausforderungen lassen sich mit traditionellen ML-Modellen lösen

Eine Bewertung des tatsächlichen Mehrwerts ist entscheidend, um für das eigene Unternehmen die Essenz aus…

3 Tagen ago

Heiß begehrt: Mitarbeiter mit FinOps-Qualifikationen

VMware-Studie: Neben Cloud- und Entwicklerkompetenzen kommt mit FinOps eine Qualifikation hinzu, die für die Wettbewerbsfähigkeit…

3 Tagen ago

Silodenken blockiert neue Geschäftsmodelle

Laut der aktuellen Umfrage "Europas Industrie im Wandel" sind 60 Prozent der Unternehmen mit der…

4 Tagen ago