Linux Mint遭“猴赛雷”攻击 85美元可买全部账户信息

在Linux 系统中，Linux Mint因为安全、易用、界面友好和提供各种定制，在全球有不少粉丝。据说，这是Linux 历史上第三大较受欢迎的操作系统。

但就在上个周末，这个系统被攻击的消息几乎传遍了各个开源社区。一个叫Peace的黑客组织，让 Linux Mint Team 在新年“遇鬼”，好一阵忙活。

遭遇李鬼，被灌下“毒酒 ”

Linux Mint官方 Blog的说法是，黑客入侵了Linux Mint 的官网，修改了下载链接，把文件的下载地址指向了一个植入后门的修改版Linux Mint ISO文件。具体受影响的版本为Linux Mint 17.3 Cinnamon版。

这就好像是，你明明想要上梁山去找李逵喝酒，结果碰上了“李鬼”，于是被“李鬼”灌了壶“毒酒”，自己的“细软”都被“李鬼”拿了去。

后来，这起事件的始作俑者说，他们这么做，较主要的目的就是建立个僵尸网络。较新的消息是，黑客拿到的大量信息已经在地下黑色产业链中进行售卖了。

85美元就能买到全部账户信息

为什么说这是个“猴赛雷”的攻击?

首先，黑客不仅通过漏洞成功入侵了 Linux Mint 官网，而且还成功地入侵了至少两次。并且，Linux Mint官方在较近一次黑客攻击的一天之后，才发现了被黑的事情，进行紧急处理。

Linux Mint创始人Clement Lefebvre透露，只有星期六以后下载的用户才受影响，数量只有几百个。不过，安全专栏作者Zack Whittaker给出的却是另一个版本。

通过加密的聊天工具，Zack Whittaker跟攻击的始作俑者——一个名叫“Peace”的欧洲独立黑客组织取得了联系，对方说有上千个用户下载了感染文件，其中有几百个终端设备已经在黑客的控制之下。

事实上，早在1月28日和2月18日，黑客就曾经两次成功入侵Linux Mint 官网，窃取了大量网站数据，较近一次就发生在官方确认攻击的两天之前。

为了证明自己所言非虚，黑客向Zack Whittaker分享了一部分数据。经过验证，这些数据的确是网站用户的个人信息，包括邮箱地址、生日、个人图片、账户密码hash等。Peace说他们已经破解了一部分账户的密码，其余的也正在破解之中。

现在，就在很多用户还没来得及反应时，Peace已经把这些用户信息拿到了地下黑产市场出售，你只要花上0.197个比特币或者是85美元，就可以购买全部用户信息。

HaveIBeenPwned是个提供在线安全检测的网站，上周日，它的检测结果表明，受影响的账户数大约有7.1万个，这个数值已经接近了整个数据库的一半。

“李鬼换李逵”过程再现

今年1月，Peace组织成员在网上闲逛的时候发现了 Linux Mint官网上存在一个未授权访问的漏洞，并且获得了网站管理员权限。黑客同时表示他拥有能够登录网站管理后台的授信凭据，并且与Linux Mint 创始人Lefebvre的权限相同。但是拒绝透露凭据是否仍然有效。

上星期六，黑客将其中一个64位Linux 系统镜像(ISO)，替换成植入后门的修改版ISO文件。后来，他们决定干脆把网站上的所有可下载的镜像都进行替换。

虽然整个过程看起来复杂， 但实际上并没有你想象得那么难。因为Linux 系统的代码是开源的，所以黑客只花了几个小时，就完成了带有后门的Linux系统包的开发。

随后，Peace把恶意程序上传到了一个位于保加利亚的文件服务器上。因为带宽速度慢，他们抱怨花费了很长时间才上传完毕。

要以较快的速度进行传播，让更多用户相信他们所下载的就是官方版本，黑客通过他们所拥有的权限，将下载页面上官方用于验证文件完整性的Hash值，替换成了后门程序的 Hash 值。

这场黑客攻击的目的并不是哪个特定的目标，而是为了建立一个僵尸网络。黑客使用了一个名叫“海啸(Tsunami)”的恶意程序。“海啸(Tsunami)”通常是用于进行Web 攻击。它同时还提供了远程命令执行、下载文件等其他的扩展功能，这就给黑客留下了一个远程更新和执行其他恶意程序的渠道。

几乎整个周日，Linux Mint 官网都不知情，据估计有几千个下载量。Peace 透露说，截止到22日上午，他的僵尸网络还在运行中，只不过随着事件被披露，被感染的机器数已经明显下降。

安全专家：较好格式化后再重装

Linux Mint虽然在中国的用户量并不是很大，但是从全球范围内看，粉丝仍然不少。较后一次的非官方统计数据显示，Linux Mint 大约在全球有600万用户。

这次攻击事件发生时，百度安全旗下的百度云安全较早时间进行了追踪跟进。上周末，百度云安全联合百度安全实验室(X-lab)的安全专家，对事件进行了分析，并且向百度云加速和百度安全宝的客户发出安全预警。

安全专家提示，由于时差原因，为了安全起见，建议(北京时间)2月19-21日期间下载Linux Mint 17.3 Cinnamon版的用户都要进行安全检查，并且按照官方博客的声明对ISO签名进行校验。如果安装了有后门的系统，用户应该立即断网，备份数据，修改受影响网站的密码，并且较好格式化系统之后再重新安装。