De op Ubuntu gebaseerde Linux-distributie Linux Mint heeft een tijdje in aangepaste vorm op de gelijknamige website gestaan. Hackers hadden van het weekend ingebroken op deze website en de downloads-link laten verwijzen naar een aangepaste versie van Linux Mint 17.3 (Cinnamon).

DDoS-IRC-Backdoor

De aangepaste download-link verwees naar een FTP-server in Bulgarije. De Linux-Mint-image op die server had een ingebouwde backdoor. Deze backdoor (tsunami) was een vrij simpele IRC-bot die normaalgesproken gebruikt wordt om DDoS-aanvallen uit te voeren. Deze aanpassing was gemaakt in het man.cy-bestand.

Tsunami wordt vaak ingezet om websites uit de lucht te halen, maar kan ook worden gebuikt om commando's uit te voeren of bestanden te downloaden naar het geïnfecteerde systeem. De werking van de bot is vrij simpel. Na activatie logt de bot in op een (al dan niet met wachtwoord beschermd) IRC-kanaal en wacht daar op commando's. De bot staat bekend om z'n mogelijkheid servers te overspoelen met een tsunami aan gegevens.

Hoewel de bot al behoorlijk oud is en in 2010 al het label "outdated" mee kreeg, wordt deze zo nu en dan nog steeds ingezet.

WordPress

De hackers hebben zichzelf toegang verschaft door in te breken op de WordPress-blog van de Linux Mint-website en zichzelf shell-toegang te geven tot de www-data map. Met deze toegang en rechten hebben zij de download pagina gewijzigd en laten verwijzen naar de FTP-servers in Bulgarije.

Toen het Linux-Mint-team de aanpassing ontdekte is de boel weer hersteld en is er een aankondiging de deur uit gedaan om gebruikers die op 20 februari een image-file hadden gedownload te waarschuwen. Dit was echter niet voldoende. De hackers wisten opnieuw binnen te komen en pasten de volledige download-pagina wederom aan.

Toen het team erachter kwam dat het niet was gelukt het lek op de website te dichten besloten de beheerders de gehele website tijdelijk offline te halen om te voorkomen dat de besmette bestanden nog verder zouden worden verspreid.

Ondertussen bleek de website zwaarder te zijn misbruikt dan het team in eerste instantie dacht. Yonathan Klijnsma van Foxit liet gisteravond in een tweet weten dat de hele Linux-Mint forumdatabase te koop staat op Darknet-markets voor 0,01910 BTC (Bitcoin). Dat komt op dit moment neer op ongeveer 83 euro. Het ziet er naar uit dat de database al tenminste één keer is aangeschaft. Een deel van het configuratiebestand is gedumpt in het forum van Hacker News.

Op de volgende pagina: Het motief van de hackers

Ondertussen is het Zack Whittaker, van ZDnet, gelukt om in contact te komen met de hacker. In een versleutelde chat met de hacker heeft de redacteur veel informatie weten te achterhalen.

"Peace" of "Peace_of_mind", zoals de hacker zichzelf noemt, zei in de chat dat hij in eerste instantie alleen maar een beetje aan het rondsnuffelen was op de site totdat hij in januari een kwetsbaarheid vond waarmee hij de site kon binnendringen. Naast het gebruik van het lek, kon de hacker inmiddels ook binnenkomen met de gegevens van een van de beheerders.

Peace wilde niet in details treden over hoe hij de lekken en gegevens van de beheerder misbruikte omdat dit in de toekomst nog van pas zou kunnen komen.

"Niemand controleert de checksum"

De hacker was wel bereid uit te leggen hoe hij de backdoor heeft in kunnen bouwen en wat hij allemaal heeft uitgespookt op de website. "Het maken van een versie met ingebouwde backdoor is niet zo moeilijk als je zou denken. Omdat de code open source is, is het ontzettend makkelijk." Peace had maar een paar uurtjes nodig om de Linux-versie met backdoor te repacken.

De hacker meldde dat hij nog het meeste tijd kwijt was met het uploaden van het besmette image-bestand naar Bulgarije vanwege de lage bandbreedte.

De makkelijkste manier om gebruikers de besmette distributie te laten downloaden was door het wijzigen van de checksum (daarmee kan de integriteit van de bestanden nagekeken worden). Al zou dat volgens de hacker niet eens zoveel uit maken. "Wie maakt daar überhaupt gebruik van?"

De besmette distributie is een paar duizend keer gedownload en op dit moment zijn er enkele honderden installaties actief in het botnet van de hacker.

Een eigen Botnet bouwen

Toen Whittaker vroeg naar het motief van de hacker antwoordde hij in eerste instantie dat er geen specifieke reden was voor de hack, behalve dat de hacker een eigen botnet wilde bouwen. Door gebruik te maken van de Tsunami-malware kon de gebruiker makkelijk via IRC de besmette computers besturen.

Op de volgende pagina: Persoonlijke gegevens forumleden bemachtigd.

Een gehackt forum

De hacker meldt verder nog dat hij zichzelf al toegang kon verschaffen sinds januari en dat hij, naast het misbruiken van Linux-distributies ook los ging op het forum van Linux Mint. Hij heeft twee keer een volledige kopie kunnen maken van het forum (op 28 januari en nogmaals op 18 februari) en heeft daarmee alle e-mail adressen, geboortedata, profielfoto's en wachtwoorden in z'n bezit.

De wachtwoorden mogen dan wel gehasht zijn, maar de techniek waarmee deze zijn gehasht is PHPass. Inmiddels is het bekend dat wachtwoorden die versleuteld zijn met PHPass gekraakt kunnen worden met de tool phpass_crack. En dat is precies wat de hacker nu aan het doen is. Sterker nog, Peace heeft in de chatsessie bevestigd dat hij al enkele wachtwoorden heeft kunnen achterhalen en druk bezig is de rest te kraken.

Daarnaast heeft de hacker ook de volledige database te koop aangeboden op verschillende marktplaatsen op het darknet. Onder de naam Peace_of_mind biedt de hacker de gegevens aan voor omgerekend 85 dollar. Op de vraag waarom Peace dat deed antwoorde hij gekscherend:" Nou, omdat ik 85 dollar nodig heb."

De hacker ging ten slotte niet in op verzoeken meer informatie te geven over de perso(o)n(en) achter de naam Peace, maar bevestigde wel in Europa te zitten en geen affiniteit te hebben met andere hackersgroepen. Wel meldde de hacker in het verleden wel eens private exploitatie-klussen aanbood voor bekende kwetsbaarheden op verschillende marktplaatsen.

De hacker benadrukt nogmaals dit alleen maar gedaan te hebben "om simpelweg alleen maar toegang te krijgen," maar ontkent niet dat de botnet wellicht in de toekomst gebruikt kan worden om data te minen of sites uit de lucht te halen.

Op dit moment is de botnet van Peace nog steeds actief, al is het aantal machines, na het uitkomen van het nieuws, drastisch gedaald.

Inmiddels kunnen gebruikers via de Have I been Pwned-website checken of hun gegevens op straat liggen.

Verder raadt Clement Lefebre, projectleider van Linux-Mint, gebruikers aan hun computer volledig te wissen als zij de gewraakte image hebben geïnstalleerd. Daarnaast worden gebruikers ook aangeraden alle images die de 20ste zijn gedownload te verwijderen of in elk geval de md5-hashes te vergelijken met de hashes die zijn gegeven in het Linux Mint-blog.