在Linux系统中,Linux Mint因为安全、易用、界面友好和提供各种定制,在全球有不少粉丝。据说,这是 Linux历史上第三大最受欢迎的操作系统。
但就在上个周末,这个系统被攻击的消息几乎传遍了各个开源社区。一个叫Peace的黑客组织,让Linux Mint Team在新年“遇鬼”,好一阵忙活。
遭遇李鬼,被灌下“毒酒”
Linux Mint官方Blog的说法是,黑客入侵了Linux Mint 的官网,修改了下载链接,把文件的下载地址指向了一个植入后门的修改版Linux Mint ISO文件。具体受影响的版本为Linux Mint 17.3 Cinnamon版。
这就好像是,你明明想要上梁山去找李逵喝酒,结果碰上了“李鬼”,于是被“李鬼”灌了壶“毒酒”,自己的“细软”都被“李鬼”拿了去。
后来,这起事件的始作俑者说,他们这么做,最主要的目的就是建立个僵尸网络。最新的消息是,黑客拿到的大量信息已经在地下黑色产业链中进行售卖了。
85美元就能买到全部账户信息
为什么说这是个“猴赛雷”的攻击?
首先,黑客不仅通过漏洞成功入侵了Linux Mint官网,而且还成功地入侵了至少两次。并且,Linux Mint官方在最近一次黑客攻击的一天之后,才发现了被黑的事情,进行紧急处理。
Linux Mint创始人Clement Lefebvre透露,只有星期六以后下载的用户才受影响,数量只有几百个。不过,安全专栏作者Zack Whittaker给出的却是另一个版本。
通过加密的聊天工具,Zack Whittaker跟攻击的始作俑者——一个名叫“Peace”的欧洲独立黑客组织取得了联系,对方说有上千个用户下载了感染文件,其中有几百个终端设备已经在黑客的控制之下。
事实上,早在1月28日和2月18日,黑客就曾经两次成功入侵Linux Mint 官网,窃取了大量网站数据,最近一次就发生在官方确认攻击的两天之前。
为了证明自己所言非虚,黑客向Zack Whittaker分享了一部分数据。经过验证,这些数据的确是网站用户的个人信息,包括邮箱地址、生日、个人图片、账户密码hash等。Peace说他们已经破解了一部分账户的密码,其余的也正在破解之中。
现在,就在很多用户还没来得及反应时,Peace已经把这些用户信息拿到了地下黑产市场出售,你只要花上0.197个比特币或者是85美元,就可以购买全部用户信息。
HaveIBeenPwned是个提供在线安全检测的网站,上周日,它的检测结果表明,受影响的账户数大约有7.1万个,这个数值已经接近了整个数据库的一半。
“李鬼换李逵”过程再现
今年1月,Peace组织成员在网上闲逛的时候发现了 Linux Mint官网上存在一个未授权访问的漏洞,并且获得了网站管理员权限。黑客同时表示他拥有能够登录网站管理后台的授信凭据,并且与Linux Mint 创始人Lefebvre的权限相同。但是拒绝透露凭据是否仍然有效。
上星期六,黑客将其中一个64位Linux 系统镜像(ISO),替换成植入后门的修改版ISO文件。后来,他们决定干脆把网站上的所有可下载的镜像都进行替换。
虽然整个过程看起来复杂, 但实际上并没有你想象得那么难。因为Linux 系统的代码是开源的,所以黑客只花了几个小时,就完成了带有后门的Linux系统包的开发。
随后,Peace把恶意程序上传到了一个位于保加利亚的文件服务器上。因为带宽速度慢,他们抱怨花费了很长时间才上传完毕。
要以最快的速度进行传播,让更多用户相信他们所下载的就是官方版本,黑客通过他们所拥有的权限,将下载页面上官方用于验证文件完整性的Hash值,替换成了后门程序的 Hash 值。
这场黑客攻击的目的并不是哪个特定的目标,而是为了建立一个僵尸网络。黑客使用了一个名叫“海啸(Tsunami)”的恶意程序。“海啸(Tsunami)”通常是用于进行Web 攻击。它同时还提供了远程命令执行、下载文件等其他的扩展功能,这就给黑客留下了一个远程更新和执行其他恶意程序的渠道。
几乎整个周日,Linux Mint 官网都不知情,据估计有几千个下载量。Peace 透露说,截止到22日上午,他的僵尸网络还在运行中,只不过随着事件被披露,被感染的机器数已经明显下降。
专家建议:最好格式化后再重装
Linux Mint虽然在中国的用户量并不是很大,但是从全球范围内看,粉丝仍然不少。最后一次的非官方统计数据显示,Linux Mint大约在全球有600万用户。
这次攻击事件发生时,百度安全旗下的百度云安全第一时间进行了追踪跟进。上周末,百度云安全联合百度安全实验室(X-lab)的安全专家,对事件进行了分析,并且向百度云加速和百度安全宝的客户发出安全预警。
百度安全专家提示,由于时差原因,为了安全起见,建议(北京时间)2月19-21日期间下载Linux Mint 17.3 Cinnamon版的用户都要进行安全检查,并且按照官方博客的声明对ISO签名进行校验。如果安装了有后门的系统,用户应该立即断网,备份数据,修改受影响网站的密码,并且最好格式化系统之后再重新安装。
我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。
我原创,你原创,我们的内容世界才会更加精彩!
【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】
微信公众号
TechTarget
官方微博
TechTarget中国
相关推荐
-
戴尔SonicWALL SMA 100系列更新操作系统,哪些升级值得用户期待?
全新戴尔SonicWALL SMA 100系列OS 8.5可让管理员快速且简便地提供安全的移动访问权限,以及基于角色的访问特权,因而使用智能手机、平板电脑或笔记本电脑(托管或非托管)的远程工作人员可以获得快速、简单且安全的访问,从而提高客户的安全性。
-
Linux Mint用悲剧告诉你:操作系统来源可信是关键
从攻击特点上,Linux Mint被攻击事件中,黑客只是替换了官方网站的链接地址,但黑客行动的细节却让许多颇具安全意识的用户也难逃一劫。为何这样说呢?
-
Linux Mint被黑,你如何化解针对基础类软件的攻击?
事实上,像近期的Linux Mint攻击事件这样针对基础类软件的攻击在近年来正在不断增多,影响了越来越多的个人及企业用户。那么,企业又该如何化解呢?
-
安全使用第三方应用须注意这四个问题
目前,对黑客而言,操作系统日益难以实施攻击,这主要是由于厂商或开发者对有漏洞的代码能够更好更快地打补丁。现在,第三方的应用成为企业遭受损害的主要媒介……