Security: Backdoor in Linux-Mint-ISOs

Die Webseite der beliebten Linux-Distribution Linux Mint wurde am Wochenende offenbar kurzfristig übernommen - mindestens einen Tag lang verteilte die Webseite ein kompromittiertes Installations-Image mit Malware. Außerdem wurden Nutzerdaten kopiert.

Artikel veröffentlicht am 22. Februar 2016, 10:53 Uhr, Hauke Gierow

Wer sich am Wochenende Linux Mint heruntergeladen hat, sollte seine Installation überprüfen. (Bild: Screenshot Golem.de)

Das Linux-Mint-Projekt warnt in seinem Blog vor zwei Sicherheitsgefahren. Einerseits wurde am Samstag und Sonntag kurzfristig eine kompromittierte ISO-Datei verteilt, die eine Backdoor enthalten soll. Außerdem wurde eine Kopie der Forendatenbank mit den persönlichen Daten der Nutzer entwendet. Die Projektwebseite ist zurzeit offline, nur der Blog funktioniert noch.

Stellenmarkt

Radeberger Gruppe KG, Frankfurt am Main
Verlag C.H.BECK, München Schwabing

Von der gehackten ISO-Datei sind Nutzer betroffen, die am Samstag Linux Mint 17.3 Cinnamon Edition heruntergeladen haben - egal ob in der 32- oder der 64-Bit-Version und ob mit oder ohne Codecs. Ab welchem Zeitpunkt genau die kompromittierten Images verteilt wurden, ist nicht klar - Nutzer können ihre Dateien aber mit Hilfe der MD5-Hashes (am Ende dieses Beitrags) prüfen.

Wer die ISO-Datei nicht mehr hat, aber damit eine DVD oder einen Live-USB-Stick erstellt hat, kann davon (am besten im Offlinemodus) booten. Wenn im Verzeichnis /var/lib/ die Datei man.cy enthalten ist, handelt es sich um eine kompromittierte Version. Nutzer sollten dann die DVD vernichten und den USB-Stick neu formatieren.

Installierte Rechner sollten neu aufgesetzt werden

Wer seinen Rechner schon mit einer infizierten ISO aufgesetzt hat, sollte den Rechner in den Offlinemodus schalten, möglicherweise vorhandene persönliche Dateien sichern und den Rechner neu aufsetzen. Außerdem empfiehlt das Team, Passwörter für wichtige Accounts neu zu vergeben.

Andere Verbreitungswege der ISO-Dateien, etwa über Torrents, sollen nicht betroffen sein. Die Webseite des Projekts wurde offenbar durch eine Schwachstelle in Wordpress angegriffen. Bei der installierten Backdoor soll es sich um eine Version der Tsunami/Kaiten-Malware handeln. Damit können Angreifer Dateien auf den Rechner der Opfer herunterladen und ausführen, Shell-Kommandos ausführen, HTTP- und IRC-Kommunikation ausführen und die infizierten Rechner in ein Botnetz verwandeln. Die infizierten ISO-Dateien wurden in Bulgarien unter der Domain 5.104.175.212 gehostet. Infizierte Rechner nehmen Verbindung zur Domain absentvodka.com auf.

Bei dem Angriff wurde offenbar außerdem die Datenbank des Forums kompromittiert. Wie es im Blog heißt, haben die Angreifer damit Zugriff auf den Nutzernamen, eine "verschlüsselte Version des Forenpasswortes" (vermutlich sollte es hier eigentlich 'gehasht' heißen, zum genutzten Verfahren gibt es bislang keine Angaben), die verwendete E-Mail-Adresse, persönliche Daten in der Signatur oder im Profil und die Informationen aus privaten Nachrichten und Themen, die im Forum verfasst wurden.