Ya anunciamos en este blog que había atacado los servidores de Linux Mint para sustituir las imágenes ISO de la famosa distribución Linux por otras modificadas que había creado este pirata. Así, todos los que han descargado la ISO de la distribución Linux Mint, habrán instalado en su máquina una versión que no es la original y que ha sido manipulada. Por el momento se sabía del ataque pero no se sabía del responsable, ahora ya se conoce el atacante que incluso ha explicado cómo lo hizo.
Además, el pirata alega que no solo afectó a las imágenes ISO de la zona de descargas del portal oficial de Linux Mint, también a otras partes como los foros, pudiendo tener acceso a los nombres de usuario y contraseñas de todos los registrados. Algo que es un fallo de seguridad bastante grave. Disponer de usuarios y contraseñas de un registro en un foro quizás no sea lo más grave, pero sí poder modificar las ISOs para que los usuarios descarguen distros modificadas con un fin (instalar un backdoor o puerta trasera para tener acceso al equipo víctima a su antojo).
El responsable de esto, permitanme que no lo llame “hacker”, puesto que “hacker” es otra cosa bien distinta, es elpirata o ciberdelincuente que se hace llamar Peace. Tres días después de su ataque se ha mostrado, contando además como pudo tomar el control de los servidores de Linux Mint. Algo que ha podido afectar a muchos, ya que Linux Mint es una de las distros basadas en Debian que son más utilizadas, por detrás del todopoderoso Ubuntu. Es decir, no se trata de una distro rara que pocos usen…
Pero Peace no ha mostrado ni su rostro ni su identidad, solo se sabe que vive en Europa y su nombre en el cibermundo. Además ha dicho que no pertenece a ningún grupo de piratas conocido, actúa solo. Y todo comenzó cuando estaba “dando una vuelta por los servidores de Linux Mint” en enero y se encontró con una vulnerabilidad que le permitió acceder al panel de administración del sitio web. Y unos días más tarde, la vulnerabilidad aun no había sido corregida, por lo que entró y decidió compilar su ISO de Linux Mint con una puerta trasera y que todos descargasen esta imagen desde los enlaces espejo que subió.
La ISO fue subida a un servidor de archivos de Bulgaria. Además Peace anima a revisar la puerta trasera, ya que no es demasiado compleja y es de código abierto. Así que los afectados ya tienen entretenimiento… Por supuesto la firma MD5 también fue variada por Peace para que coincidiera con la de la ISO modificada y así dejar tranquilos a los que se la descargaron. Algo que nos lleva a pensar si es seguro lo que descargamos aunque tenga comprobación de la suma del hash MD5 (además, muchos ni la comprueban tras la descarga).
La base de datos de los registros del foro de la web de Linux Mint también fue robada dos veces y por tanto, los datos de los usuarios han sido comprometidos. Pero Peace no se queda ahí, también ha bajado una copia entera del foro, la primera el 28 de enero y la segunda el 18 de febrero, así que todos los registrados antes de ésta última fecha tienen su contraseña y nombre de usuario en manos del pirata, ya que aunque estaban cifradas, Peace dice que ha podido descifrarlas con facilidad aprovechando un fallo PHPass que gestionaba las contraseñas del sitio.
Y Peace ha puesto a la venta todo el contenido: usuarios, contraseñas, emails, scripts, etc. En el mercado negro de la Deep Web, por un total de 0.197 Bitcoin, es decir, 85$. Encima barato… Si quieres comprobar si tu cuenta ha sido comprometida, visita HaveIBeenPwned. Y si has bajado la ISO por estas fechas, tu equipo estará comprometido con el backdoor. Formatea e instala una nueva ISO de confianza.
No hay comentarios:
Publicar un comentario