Le 20 février, des images ISO infectées de Linux Mint ont été distribuées depuis le site officiel de cette distribution Linux populaire. Linux Mint est la distribution la plus recherchée sur DistroWatch devant Debian et Ubuntu.
Sont concernés les utilisateurs qui ont téléchargé cette image ISO compromise le 20 février et ce depuis le site officiel. L'équipe de Linux Mint précise que sinon, les téléchargements via un lien HTTP direct ou BitTorrent ne sont pas affectés.
Le blog de Linux Mint enjoint les utilisateurs potentiellement touchés à vérifier si leur image ISO a été compromise en confrontant la somme MD5 avec les signatures valides (images ISO non affectées) qui sont listées. Diverses instructions sont également données en cas d'infection.
Le site de Linux Mint est actuellement indisponible. La base de données du forum du site a également été compromise pendant l'attaque. Elle comprend le nom d'utilisateur sur le forum, l'adresse email, une copie chiffrée du mot de passe et les informations personnelles qui ont pu être écrites sur les forums (messages privés compris).
Par mesure de précaution, il est demandé aux utilisateurs de modifier sans tarder les mêmes mots de passe qu'ils pourraient employer sur d'autres sites plus sensibles. " Même si les mots de passe ne peuvent pas être déchiffrés, ils peuvent être cassés par force brute s'ils sont suffisamment simples ou devinés s'ils sont en rapport avec des informations personnelles ", écrit Clément Lefèbvre, le fondateur de la distribution Linux Mint.
Une attaque revendiquée par Peace
La base de données dérobée est en vente sur une place de marché accessible sur le Dark Web. Le site Have I been pwned? a ajouté plus de 71 000 adresses email compromises à son outil de recherche pour savoir si un utilisateur est concerné.
Selon l'équipe de Linux Mint, la backdoor dans les images ISO infectées ouvre une connexion vers absentvodka.com. Elle établit un lien avec le nom de trois personnes et la ville de Sofia en Bulgarie. Mais se présentant sous l'identité de Peace, un individu revendique à lui seul l'attaque.
D'après les informations de Zero Day (ZDNet), Peace a trouvé une vulnérabilité dans le site en janvier et lui permettant d'obtenir un accès non autorisé. Il affirme avoir eu les identifiants pour se connecter en tant que Lefebvre. Samedi, il a remplacé l'une des images 64 bits de la distribution par une image ISO modifiée contenant une backdoor.
Profitant du code open source, Peace affirme avoir eu besoin de seulement quelques heures pour reconditionner une image ISO avec une backdoor. Il a ensuite mis en ligne les fichiers sur un serveur localisé en Bulgarie et a modifié sur le site de Linux Mint la somme MD5 indiquée afin d'y mettre celle de la version avec backdoor.
Peace n'aurait pas agi avec un but bien précis si ce n'est de constituer un botnet. Il aurait utilisé un malware dénommé Tsunami qui facilite l'implémentation d'une backdoor et se connecte à un serveur IRC pour récupérer des commandes.
