在Linux 系统中,Linux Mint因为安全、易用、界面友好和提供各种定制,在全球有不少粉丝。据说,这是Linux 历史上第三大较受欢迎的操作系统。
但就在上个周末,这个系统被攻击的消息几乎传遍了各个开源社区。一个叫Peace的黑客组织,让 Linux Mint Team 在新年“遇鬼”,好一阵忙活。
遭遇李鬼,被灌下“毒酒 ”
Linux Mint官方 Blog的说法是,黑客入侵了Linux Mint 的官网,修改了下载链接,把文件的下载地址指向了一个植入后门的修改版Linux Mint ISO文件。具体受影响的版本为Linux Mint 17.3 Cinnamon版。
这就好像是,你明明想要上梁山去找李逵喝酒,结果碰上了“李鬼”,于是被“李鬼”灌了壶“毒酒”,自己的“细软”都被“李鬼”拿了去。
后来,这起事件的始作俑者说,他们这么做,较主要的目的就是建立个僵尸网络。较新的消息是,黑客拿到的大量信息已经在地下黑色产业链中进行售卖了。
85美元就能买到全部账户信息
为什么说这是个“猴赛雷”的攻击?
首先,黑客不仅通过漏洞成功入侵了 Linux Mint 官网,而且还成功地入侵了至少两次。并且,Linux Mint官方在较近一次黑客攻击的一天之后,才发现了被黑的事情,进行紧急处理。
Linux Mint创始人Clement Lefebvre透露,只有星期六以后下载的用户才受影响,数量只有几百个。不过,安全专栏作者Zack Whittaker给出的却是另一个版本。
通过加密的聊天工具,Zack Whittaker跟攻击的始作俑者——一个名叫“Peace”的欧洲独立黑客组织取得了联系,对方说有上千个用户下载了感染文件,其中有几百个终端设备已经在黑客的控制之下。
事实上,早在1月28日和2月18日,黑客就曾经两次成功入侵Linux Mint 官网,窃取了大量网站数据,较近一次就发生在官方确认攻击的两天之前。
为了证明自己所言非虚,黑客向Zack Whittaker分享了一部分数据。经过验证,这些数据的确是网站用户的个人信息,包括邮箱地址、生日、个人图片、账户密码hash等。Peace说他们已经破解了一部分账户的密码,其余的也正在破解之中。
现在,就在很多用户还没来得及反应时,Peace已经把这些用户信息拿到了地下黑产市场出售,你只要花上0.197个比特币或者是85美元,就可以购买全部用户信息。
HaveIBeenPwned是个提供在线安全检测的网站,上周日,它的检测结果表明,受影响的账户数大约有7.1万个,这个数值已经接近了整个数据库的一半。
“李鬼换李逵”过程再现
今年1月,Peace组织成员在网上闲逛的时候发现了 Linux Mint官网上存在一个未授权访问的漏洞,并且获得了网站管理员权限。黑客同时表示他拥有能够登录网站管理后台的授信凭据,并且与Linux Mint 创始人Lefebvre的权限相同。但是拒绝透露凭据是否仍然有效。
上星期六,黑客将其中一个64位Linux 系统镜像(ISO),替换成植入后门的修改版ISO文件。后来,他们决定干脆把网站上的所有可下载的镜像都进行替换。
虽然整个过程看起来复杂, 但实际上并没有你想象得那么难。因为Linux 系统的代码是开源的,所以黑客只花了几个小时,就完成了带有后门的Linux系统包的开发。
随后,Peace把恶意程序上传到了一个位于保加利亚的文件服务器上。因为带宽速度慢,他们抱怨花费了很长时间才上传完毕。
要以较快的速度进行传播,让更多用户相信他们所下载的就是官方版本,黑客通过他们所拥有的权限,将下载页面上官方用于验证文件完整性的Hash值,替换成了后门程序的 Hash 值。
这场黑客攻击的目的并不是哪个特定的目标,而是为了建立一个僵尸网络。黑客使用了一个名叫“海啸(Tsunami)”的恶意程序。“海啸(Tsunami)”通常是用于进行Web 攻击。它同时还提供了远程命令执行、下载文件等其他的扩展功能,这就给黑客留下了一个远程更新和执行其他恶意程序的渠道。
几乎整个周日,Linux Mint 官网都不知情,据估计有几千个下载量。Peace 透露说,截止到22日上午,他的僵尸网络还在运行中,只不过随着事件被披露,被感染的机器数已经明显下降。
安全专家:较好格式化后再重装
Linux Mint虽然在中国的用户量并不是很大,但是从全球范围内看,粉丝仍然不少。较后一次的非官方统计数据显示,Linux Mint 大约在全球有600万用户。
这次攻击事件发生时,百度安全旗下的百度云安全较早时间进行了追踪跟进。上周末,百度云安全联合百度安全实验室(X-lab)的安全专家,对事件进行了分析,并且向百度云加速和百度安全宝的客户发出安全预警。
安全专家提示,由于时差原因,为了安全起见,建议(北京时间)2月19-21日期间下载Linux Mint 17.3 Cinnamon版的用户都要进行安全检查,并且按照官方博客的声明对ISO签名进行校验。如果安装了有后门的系统,用户应该立即断网,备份数据,修改受影响网站的密码,并且较好格式化系统之后再重新安装。