Site do Linux Mint hackeado; Downloads de ISO substituídas por um backdoor

Os sistemas de usuários que baixaram o Linux Mint em 20 de fevereiro podem estar correndo risco. Hackers de Sofia, Bulgária, conseguiram invadir o Linux Mint, atualmente uma das distribuições disponíveis do Linux mais populares. De acordo com o relatório do Linux Mint, os hackers enganaram os usuários, levando-os a baixarem uma versão da imagem ISO do Linux Mint com um backdoor instalado, substituindo os links de download do site. O link leva a um de seus servidores, oferecendo imagens ISO maliciosas da versão Linux Mint 17.3 Cinnamon. O site está fora do ar desde domingo, 21 de fevereiro, resultando em uma perda de milhares de downloads.

O que aconteceu?

No dia 21 de fevereiro, o chefe de projetos do Linux Mint, Clement Lefebvre, anunciou em um blog que “Hackers fizeram uma ISO modificada do Linux Mint, com um backdoor dentro dela e conseguiram invadir nosso site para direcionar para ele. Lefebvre enfatizou que só os downloads de 20 de fevereiro foram comprometidos e que o site foi tirado do ar em seguida, para impedir mais downloads e corrigir o problema. Como afirmado no site do Linux Mint, os hackers acessaram o servidor base através do blog WordPress da equipe. De lá, o hacker manipulou a página de downloads, apontando para um servidor FTP malicioso com a versão modificada do Linux Mint. Essa versão incluía um malware que foi usado para implementar um backdoor.

Depois de ativado, ele secretamente se conecta a um servidor Relay Chat (IRC) da Internet onde espera por comandos, podendo pode lançar ataques DDoS. O malware também pode se desinstalar sozinho nas máquinas afetadas, removendo seus traços.

Quem foi afetado?

Segundo o blog do Linux Mint de 21 de fevereiro, a instalação do Linux Mint 17.3 Cinnamon a partir do link afetado foi a única comprometida. As pessoas que baixaram outras versões não devem ter sido afetadas. As que baixaram de outras fontes, tal como torrents ou links HTTP diretos provavelmente também não foram afetadas.

Quem está por trás da invasão e quais são suas motivações?

De acordo com Lefebvre, o backdoor e as ISOs hackeadas levam a Sofia, Bulgária, e aos nomes de três outras pessoas no local. Porém, até agora, isso não está muito claro, nem quais são suas motivações. Com base em outros relatórios, um hacker conhecido como Peace (Paz) revelou que eles roubaram a cópia toda do fórum do site, duas vezes – em 28 de janeiro e em 18 de fevereiro. Além disso, o hack contém uma parte do despejo do fórum, incluindo principalmente endereços de e-mail, fotos de perfis e senhas embaralhadas.

O mais interessante: mais tarde foi divulgado que o hacker colocou “o despejo completo do fórum” no mercado da Dep. Web, onde a lista custa cerca de 0,197 Bitcoins, ou cerca de $85 dólares por download.

O que os usuários afetados podem fazer?

Se você acha que foi afetado, eis o que pode fazer:

  • Deixe o sistema afetado offline
  • Reinstale o SO usando um instalador limpo
  • Destrua todas as cópias de ISOs maliciosas