O hacker solitário, que levou centenas de usuários a baixar uma versão do Linux com uma backdoor instalada revelou como tudo foi feito.
Noticiamos aqui que o site do projeto havia sido hackeado e enganou usuários durante todo o dia, servindo downloads que continham um “backdoor” maliciosamente adicionado.
Lefebvre disse no blog que somente downloads de sábado foram comprometidos e, posteriormente, deixou o site offline para evitar novos downloads.
O hacker responsável, que atende pelo nome de “Peace”, disse a Zack Wittaker (autor deste artigo), em uma conversa encriptada no domingo, que “algumas centenas” de instalações Linux Mint estavam sob seu controle – uma parcela significativa dos mais de mil downloads durante o dia.
Mas isso é apenas metade da história.
Peace também alegou ter roubado uma cópia inteira do fórum do site duas vezes – uma em 28 de Janeiro, e, mais recentemente, 18 de fevereiro, dois dias antes do hack ser confirmado.
O hacker compartilhou uma parte do banco de dados do fórum, que contém algumas informações de identificação pessoal, como endereços de e-mail, datas de nascimento, imagens de perfil, bem como senhas criptografadas.
Essas senhas podem não ficar assim por muito mais tempo. O hacker disse que algumas senhas já foram quebradas, com mais a caminho. (Entende-se que o site utiliza PHPass para hash das senhas, que pode ser quebrada.)
Lefebvre confirmou no domingo que o fórum tinha sido violado.
Logo se verificou que o hacker tinha colocado o arquivo do banco completo em um mercado da “dark web”, uma lista que nós também fomos capazes de verificar que existe. A listagem estava cerca de 0,197 bitcoin no momento da escrita, ou cerca de US $ 85 por download.
Peace confirmou que a listagem era do site Linux Mint. “Bem, eu preciso de US $ 85,” o hacker disse em tom de brincadeira.
Cerca de 71.000 contas foram carregados no site de notificação de violação HaveIBeenPwned, anunciou no domingo. Apenas menos de metade de todas as contas já estavam no banco de dados. (Se você acha que pode ser afetado pela violação, você pode procurar no banco de dados o seu endereço de e-mail.)
Peace não quis dar seu nome, idade ou sexo, mas disse que viveu na Europa e não tinha filiações a grupos de hackers. O hacker, conhecido por trabalhar sozinho, tinha oferecido anteriormente serviços de exploração privados para serviços de vulnerabilidades conhecidas em sites de mercado privados associados.
Depois de uma conversa detalhada, o hacker explicou como o ataque de múltiplas camadas foi realizado.
Peace estava “apenas bisbilhotando” o site em janeiro, quando encontrou uma vulnerabilidade de concessão de acesso não autorizado. (O hacker também disse que tinha as credenciais para fazer login ao painel de administração do site como Lefebvre, mas estava relutante em explicar como no caso revelou-se útil novamente.) No sábado, o hacker substituiu uma das imagens da distribuição Linux de 64 bits ( ISO) com um que foi modificado pela adição de um backdoor, e mais tarde decidiu “substituir todos os espelhos” para cada versão para download do Linux no site com uma versão modificada do seu próprio.
A versão “backdoored” não é tão difícil quanto você pensa. Como o código é open-source, o hacker disse que levou apenas algumas horas para embalar uma versão Linux que continha o backdoor.
O hacker então fez o upload dos arquivos para um servidor de arquivos localizado na Bulgária, que levou mais tempo “por causa da largura de banda lenta.”
O hacker então usou seu acesso ao site para alterar a soma de verificação legítima – usado para verificar a integridade de um arquivo – na página de download com a soma de verificação da versão backdoored.
“Mas quem c*****o verifica algum hash?” o hacker disse.
Foi cerca de uma hora mais tarde, quando Lefebvre começou a derrubar o site do projeto.
O site ficou fora do ar durante a maior parte do domingo, potencialmente perdeu milhares de downloads. A distro tem um grande grande número de seguidores. Há pelo menos seis milhões de usuários Linux Mint na última contagem não oficial , graças a, em parte, sua interface amigável.
Peace disse que o primeiro episódio de pirataria começou no final de janeiro, mas atingiu o pico quando “começou a espalhar as imagens backdoored no início da manhã [sábado]”, disse o hacker.
O hacker disse que não havia nenhuma meta específica para o ataque, mas disse que sua principal motivação para o backdoor foi a construção de uma botnet. O malware hacker foi apelidado de Tsunami, um backdoor fácil de implementar, que quando ativado, silenciosamente se conecta a um servidor de IRC, onde ele espera por comandos.
Yonathan Klijnsma, analista sênior de ameaça de inteligência, trabalhando na empresa holandesa de segurança Fox-IT, disse:
"Tsunami é muitas vezes usado para derrubar sites e servidores – enviando um “tsunami” de tráfego para bater a sua desligada alvo. “[Tsunami] é um bot configurável manualmente simples que fala a um servidor de IRC e se junta a um canal pré-definido, com uma senha, se definido pelo criador”, disse Klijnsma. Mas não é apenas usado para lançar ataques baseados na web, ele também pode permitir que o seu criador “execute comandos e download de arquivos para o sistema infectado para executar mais tarde, por exemplo”, acrescentou.
Não apenas isso, o malware pode desinstalar-se de máquinas afetadas para limitar os vestígios de evidências que deixou para trás, disse Klijnsma, que ajudou a avaliar e verificar algumas das alegações do hacker.
Por agora, o motivo do hacker era “apenas o acesso em geral”, mas não descartou usar o botnet para realizar mineração de dados ou qualquer outro meio nefasto. No entanto, a botnet do hacker ainda está instalada e funcionando, mas o número de máquinas infectadas “caiu significativamente desde que a notícia surgiu, obviamente”, confirmou Peace.
Lefebvre não retornou ao e-mail para comentar o assunto no domingo. O site do projeto já está no ar novamente e esperamos que com a segurança reforçada.
Fonte
Até a próxima !!!
Nenhum comentário:
Postar um comentário