ハッカーのボットネットが依然として稼働しているため、数百台の Linux マシンがバックドア化される
前回の記事では、Linux Mint Web サイトがどのようにハッキングされ、ユーザーがバックドアを使って偽の Linux Mint ISO をダウンロードするように騙されたかを報告しました。
さて、日曜日の暗号化されたチャットで、「ピース」という名前のハッキングの責任者はこう語った。ZDNet「数百」の Linux Mint インストールが彼らの管理下にあったとのことですが、これが 1 日の数千件以上のダウンロードのかなりの部分を占めることが判明しました。
ピース氏はさらに、同サイトのフォーラムの完全なコピーが2回盗まれたと述べた。1回目は1月28日、2回目はハッキングが確立されるわずか2日前の2月18日に最新のものだった。
このハッキングは、フォーラムのユーザー名だけでなく、パスワード(暗号化)、電子メール アドレス、生年月日、プロフィール写真、署名内のあらゆる情報、およびプライベート メッセージやプライベート トピックを含むフォーラムに投稿されたあらゆる情報にも影響を及ぼしました。このハッカーは、すでにパスワードの一部を解読しており、今後さらに多くのパスワードが解読される予定であると主張しています。 (サイトではパスワードのハッシュ化に PHPass が使用されていると考えられますが、これは解読される可能性があります。)
Linux MintプロジェクトのリーダーであるClement Lefebvre氏は日曜日、フォーラムが侵害されたことを認めた。同氏は、「昨日の私たちに対する攻撃でフォーラムのデータベースが侵害され、攻撃者がそのコピーを入手したことが確認された。 forums.linuxmint.com のアカウントをお持ちの場合は、すべての機密性の高い Web サイトのパスワードをできるだけ早く変更してください。」
実際、ハッカーはフォーラム データベース (Linuxmint.com シェル、php メーラー、および完全なフォーラム ダンプ) をダークウェブ マーケットプレイスに出品し、わずか 85 ドル (約 0.197 ビットコイン) で販売していました。
ピースさんは、そのリストが自分たちのものであることを確認すると、「そうですね、85 ドル必要です」と冗談めかして言いました。
日曜日、約 71,000 のアカウント (データベースに含まれる全アカウントの半分未満) が侵害通知サイト HaveIBeenPwned に読み込まれたことが発表されました。侵害の影響を受けた可能性があると思われる場合は、データベースで自分の電子メール アドレスを検索できます。
ピース氏は、彼らはヨーロッパに住んでおり、ハッキンググループとは無関係であると述べたが、彼らの名前、年齢、性別などの情報の提供を拒否した。
1月、Peaceはサイトを「ただ覗いていた」ところ、無許可でサイトにアクセスできる脆弱性を発見した。 (ハッカーは、ルフェーブルとしてサイトの管理パネルにログインするための資格情報を持っていたとも述べたが、それがどのようにして再び役に立つことが判明したのかについては説明をためらった。)その後、ハッカーは土曜日に、64 ビット Linux ディストリビューションの 1 つを交換した。イメージ (ISO) をバックドアの追加によって変更されたものと置き換え、その後、サイト上のすべてのダウンロード可能な Linux バージョンの「すべてのミラーを、独自の変更されたバージョンに置き換える」決定を下しました。
このハッカーは、コードはオープンソースであるため、バックドアバージョンは考えられているほど難しくないと述べた。バックドアを含む Linux バージョンを再パックするのに、わずか数時間しかかかりませんでした。
その後、ファイルはハッカーによってブルガリアにあるファイルサーバーにアップロードされましたが、「帯域幅が遅かったため」最も時間がかかりました。
ユーザーに Web サイト上のバックドア バージョンをダウンロードさせる最善の方法は、Web サイト上のチェックサム (ファイルの信頼性を認証するために使用される) をバックドア バージョンのチェックサムに変更することです。
ハッカーは「そもそも誰がそんなものをチェックするんだ?」と言いました。
単独で活動することが知られているこのハッカーは、過去に、接続しているプライベート マーケットプレイス サイト上で既知の脆弱性サービスのプライベート エクスプロイト サービスを提供していました。
最初のハッキング事件は1月下旬に始まったが、「(土曜日の)早朝にバックドアで埋め込まれた画像を拡散し始めた」と増加したとハッカーは語った。