Linux Mint : un pirate place une backdoor dans les ISO

Le responsable de Linux Mint a alerté ses utilisateurs sur le piratage du site et de la découverte d’une porte dérobée dans l’ISO de la distribution. Les motivations du pirate demeurent assez floues.

Hier, Clément Lefebvre, responsable du projet Linux Mint, a posté un message sur le site indiquant un piratage. Selon lui, « une intrusion a été constatée, cela a été bref et cela n’a pas impacté beaucoup de personnes ». Mais, le pirate a modifié la version de l’ISO de la distribution Linux. Après une rapide enquête, il semble que seule la version 17.3 Cinnamon Edition ait été touchée et plus particulièrement ceux qui ont téléchargé l’image le 20 février.

Pour repérer si l’ISO est concernée, le site donne quelques éléments. Il faut vérifier si la signature est valide avec un scan de somme MD5. De même, la présence du fichier in /var/lib/man.cy lors d’une live session est synonyme d’infection. Clément Lefebvre dans son analyse constate que la backdoor se connecte au site absentvodka.com avec un lien en Bulgarie et 3 personnes identifiées. Le responsable reste par contre incapable de déterminer la motivation du pirate.

Nos confrères de ZDnet ont réussi à dialoguer avec le pirate qui porte le pseudo « Peace ». Ce dernier a précisé avoir « quelques centaines » d’installations de Linux Mint sous contrôle. Le pirate souligne qu’il a commencé à repérer les faiblesses du site en janvier dernier, avant de placer une backdoor dans le code source de l’image de la distribution Linux. Il a d’abord poussé une image infectée sur un serveur en Bulgarie et ensuite a remplacé les sites miroirs avec son ISO.

Créer un botnet et aspirer les comptes du forum au passage

Il rapporte que son objectif initial était de créer un botnet. Pour se faire, il s’est appuyé sur un malware baptisé Tsunami, qui active des commandes pour se connecter à un serveur IRC et attendre les ordres. Ce logiciel malveillant est souvent utilisé pour provoquer des interruptions de services en envoyant un maximum de trafic. Il peut également servir selon les spécialistes à exécuter des commandes et à télécharger des fichiers malveillants exécutables a posteriori. Peace n’a pas donné d’ambitions particulières à son action en voulant simplement « avoir un accès général ». Même s’il ne s’interdit pas d’utiliser son réseau de botnet pour du data mining (bitcoin) ou d’autres actions illégales.

L’introduction d’une backdoor dans Linux Mint n’est qu’une partie du piratage. En effet, Peace a profité de son « test » en janvier dernier pour copier l’ensemble des données du forum du site de la distribution Linux, soit environ 71 000 comptes compromis. Une mise à jour de cette base a été faite deux jours avant la mise en place de l’ISO frauduleuse. Le pirate a livré des échantillons qui contiennent des noms, des dates de naissance, des mots de passe, des photos. Une liste que le pirate s’est empressé à placer sur le Dark Web pour la somme de 0,197 bitcoin, soit 85 dollars. Autant dire une paille, Peace expliquant avec humour qu’il avait « besoin de 85 dollars ». Une attitude qui démontre le flou quant aux motivations réelles du pirate qui agit de manière opportuniste.

A lire aussi :

La Californie veut des backdoors dans ses smartphones

Un backdoor dans les pare-feux de Fortinet ?

Crédit Photo © andriano.cz – shutterstock