Il sito della distribuzione Linux Mint è stato hackerato, ecco come comportarsi

Quante volte ci capita di installare in azienda un sistema operativo su una macchina nuova o da ricondizionare? Quante volte installiamo software oppure update critici senza verificarne l’integrità?

Il problema è comune ed è diffuso, direi che è quasi la norma installare nuove versioni del sistema operativo o di qualunque altro software senza verificare che sia realmente quello che ci si aspetta. Questo accade perché in un contesto aziendale il fattore tempo gioca un ruolo fondamentale e perché ci sentiamo al sicuro quando scarichiamo un software dal sito legittimo della azienda che lo fornisce.

Queste considerazioni non sono sufficienti per metterci al riparo da problemi ed episodi come quello che mi accingo a raccontare ne sono la dimostrazione.

Il sito della popolare distribuzione Linux Mint è stato hackerato nel weeekend appena trascorso: sabato 20 febbraio un gruppo di hacker ha preso il controllo del sito ed ha sostituito i riferimenti all’immagine  ISO della versione Linux Mint 17.3 Cinnamon edition con quelli che puntavano ad una versione infetta del sistema operativo. La notizia è stata divulgata da Clement Lefebvre, il capo del progetto Linux Mint. Lefebvre ha spiegato che il web sito di Linux Mint è stato compromesso e che gli hacker lo hanno usato per distribuire una ISO infetta di Linux Mint 17,3 Cinnamon edition.

“Mi dispiace dovervi dare una brutta notizia. Siamo stati vittima di una intrusione. E’ stata circoscritta nel tempo e non dovrebbe avere impattato molte persone, ma nel caso tu sia stato impattato è opportuno che legga le informazioni riportate di seguito.” Diceva il comunicato del progetto Linux Mint.

Cosa è successo?

Gli hacker hanno preparato una immagine ISO del sistema operativo Linux Mint contenente un codice malevolo, trattasi di una backdoor che potrebbe fornire accesso alla macchina di chi lo installa. Successivamente alla compromissione del sito ufficiale hanno fatto in modo che i link utilizzati per il download puntassero alla versione infetta. Gli utenti che hanno scaricato la versione di Linux Mint 17,3 Cinnamon edition prima di Sabato, o qualsiasi altra versione non sono interessati dall’attacco.
Al momento è stata ripristinata una condizione normale di esercizio del sito, ovvero sono stati rimossi i riferimenti alle versioni infette.
linux

Cosa fare per proteggersi in questi casi?

Lefebvre esorta gli utenti a verificare l’impronta dell’immagine ISO scaricata dal sito ufficiale ed a confrontarla con quelle delle immagini legittime.

Verificare l’hash dell’immagine è semplice … basta lanciare il comando

md5sum yourfile.iso

dove yourfile.iso è il nome del file dell’immagine ISO

Confrontate quindi il valore ottenuto con quelli presenti nella lista seguente, e qualora non vi fosse corrispondenza avrete la certezza che il file non sia integro. Ciò significa che potrebbe essere corrotto, potrebbe non essere quello corretto e nella peggiore delle ipotesi potrebbe essere una versione infetta dell’immagine legittima.

  • 6e7f7e03500747c6c3bfece2c9c8394f linuxmint-17.3-cinnamon-32bit.iso
  • e71a2aad8b58605e906dbea444dc4983 linuxmint-17.3-cinnamon-64bit.iso
  • 30fef1aa1134c5f3778c77c4417f7238 linuxmint-17.3-cinnamon-nocodecs-32bit.iso
  • 3406350a87c201cdca0927b1bc7c2ccd linuxmint-17.3-cinnamon-nocodecs-64bit.iso
  • df38af96e99726bb0a1ef3e5cd47563d linuxmint-17.3-cinnamon-oem-64bit.iso

A questo punto coloro che hanno già masterizzato una immagine di Linux Mint dovrebbero eseguire l’immagine in una macchina virtuale disconnessa dalla rete e verificare la presenza del file /var/lib/man.cy, un indicatore del fatto che ci si trovi dinanzi una versione infetta.

Se la versione in vostro possesso è effettivamente infetta non vi resta che cancellare la ISO dopo aver fatto un backup dei dati, formattare il supporto su cui è stata masterizzata ed installate una versione pulita. Vi suggerisco ovviamente di utilizzare una password differente da quella della precedente installazione, la backdoor potrebbe aver già fatto il suo lavoro.

Nel caso dell’attacco specifico, il server su cui era locata l’immagine infetta corrispondeva all’IP 5.104.175.212 and la backdoor puntava al dominio absentvodka.com, entrambi conducono a 3 individui in Bulgaria, ma non abbiamo notizie circa il loro coinvolgimento.

Abbiamo quindi imparato oggi che è buona norma verificare sempre l’impronta di un software che ci accingiamo ad installare, anche se la scarichiamo da un sito ufficiale. In un contesto aziendale la backdoor potrebbe consentire ad un attaccante di penetrare le nostre reti e di infiltrare a catena i nostri sistemi.

Pochi minuti per una banale verifica di un hash potrebbero fare la differenza.

 

Facebook Comments

Previous articleAlfabeto Open: H come HotSpot Wi-Fi (con autenticazione SPID)
Next articleNuovo Regolamento Ue sulla privacy: quali impatti (anche) sul mail marketing?
Pierluigi Paganini è Chief Information Security Officer presso Bit4Id, un’azienda leader nella fornitura di soluzioni per l’Identity Management basate su infrastrutture PKI. Ricopre anche il ruolo di capo editore per la nota rivista statunitense Cyber Defense Magazine e vanta una esperienza di oltre venti anni nel settore della cyber security. La passione per la scrittura e la forte convinzione che la sicurezza sia una materia che la conoscenza sulla Cyber Security vada condivisa lo ha spinto a fondare il blog Security Affairs, recentemente insignito del titolo di “Top National Security Resource for US.” E' membro dei gruppi di lavoro del portale “The Hacker News" e dell’ ICTTF International Cyber Threat Task Force, è inoltre autore di numerosi articoli pubblicati sulle principali testare in materia sicurezza quali Cyber War Zone, ICTTF, Infosec Island, Infosec Institute, The Hacker News Magazine e molte altre riviste. E' membro del gruppo Threat Landscape Stakeholder Group dell'agenzia ENISA (European Union Agency for Network and Information Security). Ha pubblicato due libri "The Deep Dark Web" e “Digital Virtual Currency and Bitcoin” rispettivamente sulla tematiche inerenti Deep Web ed i sistemi di moneta virtuali.

LEAVE A REPLY

Please enter your comment!
Please enter your name here