اگر شما هم جزء آن دسته از افرادي هستيد كه در تاريخ 20 فوريه 20160 ميلادي توزيع Mint را دانلود و نصب كرده ايد، در حقيقت از يك توزيع آلوده در حال استفاده هستيد.
Linux Mint يكي از مشهورترين توزيع هاي لينوكس در دنيا مي باشد، ولي اخيراً نسخه ISO آن با يك نسخه حاوي backdoor جايگزين شده است.
در تاريخ 20 فوريه يك گروه ناشناس از هكرها به سايت Linux Mint حمله كرده و لينك دانلود مربوط به توزيع Mint را با لينكي كه به يكي از سرورهاي خودشان اشاره مي كند و حاوي يك نسخه ISO حاوي backdoor مي باشد، به نام Linux Mint 17.3 Cinnamon Edition جايگزين كردند.
به گفته تيم Linux Mint اين حمله فقط يكي از نسخه هاي اين توزيع را آلوده كرده است و اين نسخه، Linux Mint 17.3 Cinnamon Edition مي باشد. ضمن اينكه تنها دانلودهايي كه در تاريخ 20 فوريه انجام شده است، آلوده مي باشند.
هكرها با استفاده از دسترسي به سرورهاي زيرساخت Mint و پس از آن با دسترسي به سرور www-data توانسته اند يك shell از آن در اختيار گيرند.
پس از آن هكرها با دستكاري صفحه دانلود مربوط به Linux Mint و جايگزيني آن با يك سرور FTP آلوده موجود در كشور بلغارستان (با آدرس 5.104.175.212) اقدام به جايگزيني لينك دانلود اين توزيع لينوكس نموده اند.
اين توزيع آلوده علاوه بر دارا بودن تمام ويژگي هاي توزيع هاي عادي Linux Mint، حاوي يك backdoor با نام Tsunami مي باشد كه اين امكان را به حمله كننده مي دهد كه از طريق سرورهاي IRC (Internet Relay Chat) به سيستم قرباني دسترسي داشته باشد.
Tsunami يكي از تروجان هاي نام آشناي مربوط به لينوكس مي باشد كه در واقع يك IRC bot ساده است كه براي حملات DDOS از آن استفاده مي شود.
البته تيم مديريتي Linux Mint با شناسايي اين حمله و پاك كردن لينك آلوده موجود، از آلوده شدن تعداد بيشتري از كاربران جلوگيري كرده است. بري اين كار تيم Linux Mint تمامي دامنههاي linuxmint.com را به صورت آفلاين درآورده و عمليات لازم را انجام داده است.
همچنين اين گروه هكري با سرقت كل ديتابيس سايت Linux Mint اقدام به فروش آن به قيمت 85 دلار كرده اند. گفته مي شود كه اين گروه هكري يك تيم نه چندان حرفه اي بوده كه توانسته با استفاده از بدافزارها و ابزارهاي آماده اقدام به انجام اين حمله كند.
- 11