Linux Mint遭黑客“猴賽雷”攻擊,百度安全發出安全預警
責編:mhshi |2016-02-25 10:23:33在Linux 系統中,Linux Mint因為安全、易用、界面友好和提供各種定制,在全球有不少粉絲。據說,這是 Linux 歷史上第三大最受歡迎的操作系統。
但就在上個周末,這個系統被攻擊的消息幾乎傳遍了各個開源社區。一個叫Peace的黑客組織,讓 Linux Mint Team 在新年“遇鬼”,好一陣忙活。
遭遇李鬼,被灌下“毒酒 ”
Linux Mint官方 Blog的說法是,黑客入侵了Linux Mint 的官網,修改了下載鏈接,把文件的下載地址指向了一個植入后門的修改版Linux Mint ISO文件。具體受影響的版本為Linux Mint 17.3 Cinnamon版。
這就好像是,你明明想要上梁山去找李逵喝酒,結果碰上了“李鬼”,于是被“李鬼”灌了壺“毒酒”,自己的“細軟”都被“李鬼”拿了去。
后來,這起事件的始作俑者說,他們這么做,最主要的目的就是建立個僵尸網絡。最新的消息是,黑客拿到的大量信息已經在地下黑色產業鏈中進行售賣了。
85美元就能買到全部賬戶信息
為什么說這是個“猴賽雷”的攻擊?
首先,黑客不僅通過漏洞成功入侵了 Linux Mint 官網,而且還成功地入侵了至少兩次。并且,Linux Mint官方在最近一次黑客攻擊的一天之后,才發現了被黑的事情,進行緊急處理。
Linux Mint創始人Clement Lefebvre透露,只有星期六以后下載的用戶才受影響,數量只有幾百個。不過,安全專欄作者Zack Whittaker給出的卻是另一個版本。
通過加密的聊天工具,Zack Whittaker跟攻擊的始作俑者——一個名叫“Peace”的歐洲獨立黑客組織取得了聯系,對方說有上千個用戶下載了感染文件,其中有幾百個終端設備已經在黑客的控制之下。
事實上,早在1月28日和2月18日,黑客就曾經兩次成功入侵Linux Mint 官網,竊取了大量網站數據,最近一次就發生在官方確認攻擊的兩天之前。
為了證明自己所言非虛,黑客向Zack Whittaker分享了一部分數據。經過驗證,這些數據的確是網站用戶的個人信息,包括郵箱地址、生日、個人圖片、賬戶密碼hash等。Peace說他們已經破解了一部分賬戶的密碼,其余的也正在破解之中。
現在,就在很多用戶還沒來得及反應時,Peace已經把這些用戶信息拿到了地下黑產市場出售,你只要花上0.197個比特幣或者是85美元,就可以購買全部用戶信息。
HaveIBeenPwned是個提供在線安全檢測的網站,上周日,它的檢測結果表明,受影響的賬戶數大約有7.1萬個,這個數值已經接近了整個數據庫的一半。
“李鬼換李逵”過程再現
今年1月,Peace組織成員在網上閑逛的時候發現了 Linux Mint官網上存在一個未授權訪問的漏洞,并且獲得了網站管理員權限。黑客同時表示他擁有能夠登錄網站管理后臺的授信憑據,并且與Linux Mint 創始人Lefebvre的權限相同。但是拒絕透露憑據是否仍然有效。
上星期六,黑客將其中一個64位Linux 系統鏡像(ISO),替換成植入后門的修改版ISO文件。后來,他們決定干脆把網站上的所有可下載的鏡像都進行替換。
雖然整個過程看起來復雜, 但實際上并沒有你想象得那么難。因為Linux 系統的代碼是開源的,所以黑客只花了幾個小時,就完成了帶有后門的Linux系統包的開發。
隨后,Peace把惡意程序上傳到了一個位于保加利亞的文件服務器上。因為帶寬速度慢,他們抱怨花費了很長時間才上傳完畢。
要以最快的速度進行傳播,讓更多用戶相信他們所下載的就是官方版本,黑客通過他們所擁有的權限,將下載頁面上官方用于驗證文件完整性的Hash值,替換成了后門程序的 Hash 值。
這場黑客攻擊的目的并不是哪個特定的目標,而是為了建立一個僵尸網絡。黑客使用了一個名叫“海嘯(Tsunami)”的惡意程序。“海嘯(Tsunami)”通常是用于進行Web 攻擊。它同時還提供了遠程命令執行、下載文件等其他的擴展功能,這就給黑客留下了一個遠程更新和執行其他惡意程序的渠道。
幾乎整個周日,Linux Mint 官網都不知情,據估計有幾千個下載量。Peace 透露說,截止到22日上午,他的僵尸網絡還在運行中,只不過隨著事件被披露,被感染的機器數已經明顯下降。
百度安全專家:最好格式化后再重裝
Linux Mint雖然在中國的用戶量并不是很大,但是從全球范圍內看,粉絲仍然不少。最后一次的非官方統計數據顯示,Linux Mint 大約在全球有600萬用戶。
這次攻擊事件發生時,百度安全旗下的百度云安全第一時間進行了追蹤跟進。上周末,百度云安全聯合百度安全實驗室(X-lab)的安全專家,對事件進行了分析,并且向百度云加速和百度安全寶的客戶發出安全預警。
百度安全專家提示,由于時差原因,為了安全起見,建議(北京時間)2月19-21日期間下載Linux Mint 17.3 Cinnamon版的用戶都要進行安全檢查,并且按照官方博客的聲明對ISO簽名進行校驗。如果安裝了有后門的系統,用戶應該立即斷網,備份數據,修改受影響網站的密碼,并且最好格式化系統之后再重新安裝。