El pirata informático responsable del ataque contra Linux Mint explica cómo lo hizo

Share this…

A lo largo de este fin de semana hemos podido ver cómo un pirata informático atacó los servidores de Linux Mint y sustituyó las ISOs del sistema operativo por versiones modificadas por él. Aunque hasta ahora apenas se conocía información sobre el cómo se había logrado el ataque ni quién era el responsable, finalmente el pirata informático ha hablado, demostrando además que el ataque contra Linux Mint llegó mucho más lejos de lo que se esperaba, comprometiendo también la base de datos de los foros, con los nombres de usuario y contraseñas de todos ellos.

El pirata informático responsable de comprometer los servidores de Linux Mint responde al nombre de “Peace“. 3 días después de haber tomado el control del servidor de Linux Mint (una de las distribuciones basadas en Debian más utilizadas, por detrás de Ubuntu), finalmente ha hablado (a través de un chat privado, como era de esperar) sobre cómo logró tomar el control de los servidores de esta distribución Linux y conseguir que los usuarios descarguen la versión modificada, con la puerta trasera instalada, desde allí.

Por seguridad, la única información que ha facilitado el pirata informático es que vive en Europa y no pertenece a ningún grupo de piratas informáticos. No facilitó más información sobre su nombre, edad o sexo.

Tal como asegura el pirata informático, a finales de enero él simplemente estaba “dando una vuelta” por los servidores de Linux Mint cuando se encontró por casualidad con una vulnerabilidad que le permitió acceder al panel de administración de la web. Varios días más tarde la vulnerabilidad seguía abierta, por lo que decidió compilar una versión comprometida de Linux Mint y subirla (aprovechando para sustituir todos los enlaces espejo) para que todos los usuarios que la descargaran, independientemente del enlace, bajaran la versión modificada.

La ISO fue subida a un servidor de archivos alojado en Bulgaria debido a su reducido ancho de banda. El pirata indica que la puerta trasera no es tan compleja como piensa la gente, y anima a revisarla ya que es de código abierto. Este pirata informático también cambió la firma MD5 para dar más credibilidad a su versión modificada, aunque es consciente de que nadie la comprueba después de descargar nada.

La base de datos del foro de Linux Mint fue robada dos veces antes del ataque contra las ISO. Los datos de todos los usuarios han sido comprometidos.

Este pirata informático también asegura haber descargado una copia completa del foro (incluida la base de datos con las contraseñas y todos los datos personales de los usuarios) dos veces antes del gran ataque: la primera de ellas el 28 de enero, y la segunda el 18 de febrero, dos días antes de comprometer las ISOs. Aunque las contraseñas del foro estaban cifradas, Peace asegura haber conseguido descifrar, sin demasiados esfuerzos, muchas de ellas aprovechando un fallo en PHPass, herramienta utilizada para los hashes de las contraseñas. Por ello, se recomienda a todos los usuarios registrados en estos foros cambiarla lo antes posible, tanto allí como en todos los demás sitios donde hicieran uso de ella.

El pirata informático ha puesto a la venta todo el contenido robado (tanto los scripts como los correos y el volcado completo del foro) en el mercado negro de la Deep Web por un total de 0.197 Bitcoin, lo que equivale a 85 dólares. Desde este momento podemos comprobar si nuestros credenciales han sido comprometidos desde el portal “HaveIBeenPwned“.

Datos de usuario robados durante ataques informáticos

A día de hoy, aún existen cientos de equipos Linux Mint con la puerta trasera instalada. También se sabe que la botnet del pirata informático sigue en funcionamiento, por lo que se recomienda a todos los usuarios que hayan descargado una ISO de Linux Mint desde enero de 2016 hasta la fecha que formateen completamente el ordenador y vuelvan a descargar la ISO e instalar el sistema operativo para poder asegurarse de que este pirata no toma el control de sus equipos.

Fuente:https://www.redeszone.net/