Hier, Clément Lefebvre, responsable du projet Linux Mint, a posté un message sur le site indiquant un piratage. Selon lui, « une intrusion a été constatée, cela a été bref et cela n’a pas impacté beaucoup de personnes ». Mais, le pirate a modifié la version de l’ISO de la distribution Linux. Après une rapide enquête, il semble que seule la version 17.3 Cinnamon Edition ait été touchée et plus particulièrement ceux qui ont téléchargé l’image le 20 février.
Pour repérer si l’ISO est concernée, le site donne quelques éléments. Il faut vérifier si la signature est valide avec un scan de somme MD5. De même, la présence du fichier in /var/lib/man.cy lors d’une live session est synonyme d’infection. Clément Lefebvre dans son analyse constate que la backdoor se connecte au site absentvodka.com avec un lien en Bulgarie et 3 personnes identifiées. Le responsable reste par contre incapable de déterminer la motivation du pirate.
Nos confrères de ZDnet ont réussi à dialoguer avec le pirate qui porte le pseudo « Peace ». Ce dernier a précisé avoir « quelques centaines » d’installations de Linux Mint sous contrôle. Le pirate souligne qu’il a commencé à repérer les faiblesses du site en janvier dernier, avant de placer une backdoor dans le code source de l’image de la distribution Linux. Il a d’abord poussé une image infectée sur un serveur en Bulgarie et ensuite a remplacé les sites miroirs avec son ISO.
Il rapporte que son objectif initial était de créer un botnet. Pour se faire, il s’est appuyé sur un malware baptisé Tsunami, qui active des commandes pour se connecter à un serveur IRC et attendre les ordres. Ce logiciel malveillant est souvent utilisé pour provoquer des interruptions de services en envoyant un maximum de trafic. Il peut également servir selon les spécialistes à exécuter des commandes et à télécharger des fichiers malveillants exécutables a posteriori. Peace n’a pas donné d’ambitions particulières à son action en voulant simplement « avoir un accès général ». Même s’il ne s’interdit pas d’utiliser son réseau de botnet pour du data mining (bitcoin) ou d’autres actions illégales.
L’introduction d’une backdoor dans Linux Mint n’est qu’une partie du piratage. En effet, Peace a profité de son « test » en janvier dernier pour copier l’ensemble des données du forum du site de la distribution Linux, soit environ 71 000 comptes compromis. Une mise à jour de cette base a été faite deux jours avant la mise en place de l’ISO frauduleuse. Le pirate a livré des échantillons qui contiennent des noms, des dates de naissance, des mots de passe, des photos. Une liste que le pirate s’est empressé à placer sur le Dark Web pour la somme de 0,197 bitcoin, soit 85 dollars. Autant dire une paille, Peace expliquant avec humour qu’il avait « besoin de 85 dollars ». Une attitude qui démontre le flou quant aux motivations réelles du pirate qui agit de manière opportuniste.
A lire aussi :
La Californie veut des backdoors dans ses smartphones
Un backdoor dans les pare-feux de Fortinet ?
Le dernier Magic Quadrant du SSE (Secure Service Edge) dénote des tarifications et des modèles…
Formats de paramètres, méthodes d'apprentissage, mutualisation GPU... Voici quelques-unes des recommandations de l'ANSSI sur l'IA…
À la grogne des partenaires VMware, Broadcom répond par diverses concessions.
iPadOS a une position suffisamment influente pour être soumis au DMA, estime la Commission européenne.
FT Group, éditeur du Financal Times, a signé un accord avec OpenAI afin d'utiliser ses…
Au premier trimestre, Microsoft, Meta/Facebook et Alphabet/Google ont déjà investi plus de 32 milliards $…