El pirata que atacó el portal de Linux Mint explica como lo hizo

Linux Mint 17.2

Ya anunciamos en este blog que había atacado los servidores de Linux Mint para sustituir las imágenes ISO de la famosa distribución Linux por otras modificadas que había creado este pirata. Así, todos los que han descargado la ISO de la distribución Linux Mint, habrán instalado en su máquina una versión que no es la original y que ha sido manipulada. Por el momento se sabía del ataque pero no se sabía del responsable, ahora ya se conoce el atacante que incluso ha explicado cómo lo hizo.

Además, el pirata alega que no solo afectó a las imágenes ISO de la zona de descargas del portal oficial de Linux Mint, también a otras partes como los foros, pudiendo tener acceso a los nombres de usuario y contraseñas de todos los registrados. Algo que es un fallo de seguridad bastante grave. Disponer de usuarios y contraseñas de un registro en un foro quizás no sea lo más grave, pero sí poder modificar las ISOs para que los usuarios descarguen distros modificadas con un fin (instalar un backdoor o puerta trasera para tener acceso al equipo víctima a su antojo).

El responsable de esto, permitanme que no lo llame “hacker”, puesto que “hacker” es otra cosa bien distinta, es el pirata o ciberdelincuente que se hace llamar Peace. Tres días después de su ataque se ha mostrado, contando además como pudo tomar el control de los servidores de Linux Mint. Algo que ha podido afectar a muchos, ya que Linux Mint es una de las distros basadas en Debian que son más utilizadas, por detrás del todopoderoso Ubuntu. Es decir, no se trata de una distro rara que pocos usen…

Pero Peace no ha mostrado ni su rostro ni su identidad, solo se sabe que vive en Europa y su nombre en el cibermundo. Además ha dicho que no pertenece a ningún grupo de piratas conocido, actúa solo. Y todo comenzó cuando estaba “dando una vuelta por los servidores de Linux Mint” en enero y se encontró con una vulnerabilidad que le permitió acceder al panel de administración del sitio web. Y unos días más tarde, la vulnerabilidad aun no había sido corregida, por lo que entró y decidió compilar su ISO de Linux Mint con una puerta trasera y que todos descargasen esta imagen desde los enlaces espejo que subió.

La ISO fue subida a un servidor de archivos de Bulgaria. Además Peace anima a revisar la puerta trasera, ya que no es demasiado compleja y es de código abierto. Así que los afectados ya tienen entretenimiento…  Por supuesto la firma MD5 también fue variada por Peace para que coincidiera con la de la ISO modificada y así dejar tranquilos a los que se la descargaron. Algo que nos lleva a pensar si es seguro lo que descargamos aunque tenga comprobación de la suma del hash MD5 (además, muchos ni la comprueban tras la descarga).

La base de datos de los registros del foro de la web de Linux Mint también fue robada dos veces y por tanto, los datos de los usuarios han sido comprometidos. Pero Peace no se queda ahí, también ha bajado una copia entera del foro, la primera el 28 de enero y la segunda el 18 de febrero, así que todos los registrados antes de ésta última fecha tienen su contraseña y nombre de usuario en manos del pirata, ya que aunque estaban cifradas, Peace dice que ha podido descifrarlas con facilidad aprovechando un fallo PHPass que gestionaba las contraseñas del sitio.

Y Peace ha puesto a la venta todo el contenido: usuarios, contraseñas, emails, scripts, etc. En el mercado negro de la Deep Web, por un total de 0.197 Bitcoin, es decir, 85$. Encima barato… Si quieres comprobar si tu cuenta ha sido comprometida, visita HaveIBeenPwned. Y si has bajado la ISO por estas fechas, tu equipo estará comprometido con el backdoor. Formatea e instala una nueva ISO de confianza.


14 comentarios

  1.   Asier dijo

    Hola, y gracias por compartir esta info.
    Existe un error en el link a HaveIBeenPwned, ya que aparece como haveibeedpwned(.com)
    Saludos!

  2.   Luis dijo

    ¿Y eso en qué afecta al mismísimo Albert Einstein?

  3.   Gibran Barrera dijo

    ¡Un hecho aislado!, no lo creo, pese a que los desarrolladores de Linux Mint han hecho un excelente trabajo con esta distribución, me atrevo a decir que en algunos aspectos es incluso superior que Ubuntu; creo que en más de una ocasión Mint ha demostrado que no tiene suficiente visión empresarial, ya que dependen en exceso de su comunidad. Pero no tiene la experiencia de un Debian, con mas de 20 años en el negocio, que ha sabido diseñar una estructura orgánica, sumamente eficaz y eficiente, de su comunidad.

    Tampoco ha sabido rentabilizar su éxito ( si Ubuntu se plante un objetivo o proyecto, tiene suficiente infraestructura para desarrollarlo), en Mint se nota a leguas que el diseño de su portal principal es muy básico (yo diría inclusive arcaico), lo que implica que su mantenimiento y puesta a punto quizá no sea el adecuado. Los productos y servicios de los que dispone, no están a la altura de un segundo lugar en el ranking de distribuciones, tampoco las relaciones empresariales para posicionar la distribución, (Ubuntu se ha comido ese pastel y no hay quien lo para, con convenios con Hp, At&t, Bq, etc…), en fin creo que en MInt no hay suficiente dinero. Esto obviamente afectara la calidad, fiabilidad y prestigio de esta distribución

  4.   Evilhack dijo

    Inmediatamente deben cambiar contraseñas de todas las cuentas tal ves dar de baja esas cuentas…de seguro dejo rastro lo que quería era dinero que se lo quede que haga mucho provecho dañar a linux un símbolo de libertad y de comparacion no tiene vergüenza

  5.   Jimmy Olano dijo

    Que iluso soy, yo fui uno de los que pensé de inmediato que se debería comparar el hash MD5 con la ISO… pero claro él ya nos cambió la clave.

    LO SIGUIENTE sería que nosotros comprobaramos que los hash MD5 de los “espejos” coincidan todos, deberían ser iguales, sino pues nos volvieron a birlar.

    Estoy investigando sobre el PHPass para tener al menos una noción de cómo trabaja.

    OJO PUES a mantener nuestros servidores siempre actualizados para MINIMIZAR las vulnerabilidades.

  6.   Mircocaloghero dijo

    Situaciones como estas siempre vienen bien como tirón de oreja…

  7.   phirus2 dijo

    señores, menuda cagada por parte de los admin de mint. Un fallo de seguridad grave en los servers donde replican alojan las imágenes :| (no comment).

    P.S: xq no llamarlo hacker???? y si pirata??? cual es la diferencia???

    1.    Minsaku dijo

      “P.S: xq no llamarlo hacker???? y si pirata??? cual es la diferencia???”

      https://es.wikipedia.org/wiki/Hacker

      1.    phirus2phirus dijo

        Te has leído toda la definición de hacker???? A mi me hace una gracia q la gente quiera darte un significado de bondad a la palabra hacker…. Es un tio con una habilidad,

  8.   Seawater dijo

    Juas, podría haberlo hecho contra el server de Ubuntu …. al menos podían jdoer a algunos fanboys XD

  9.   Angelo dijo

    Je, Hicieron Un Backdoor A Traves De Mirrors Con 200 Comandos

  10.   gerar dijo

    hola es 29 de julio del 2016 hace un par de dias instale mi flamante distro Linux Mint el ultimito, estuve tratando de activar, instalar, actualizar etc etc mi controlador de video o driver y sucede que no puedo me canse de entrar en modo NOMODESET, estoy triste porque me gustaba el distro, ya desde el 2008 ando usando algunos distros, ahora en mi pc AMD Apu- HD6000D del año 2011 ya no me acepta instalar estos distros como lo hacia antes (la pantalla se apaga despues del grub), no se cual sera el problema ; el avance de instalacion actual es la siguiente: logre instalar y actualizar por completo sistema operativo siempre ingresando en nomodeset, no encuentro la solución solo se que como dice Mint solo acepta drivers de código abierto compatibles con xorg y hay que buscar el bendito driver de video, creo que reinicie mi pc mas de 50 veces y todavía, si alguien tiene un aporte, se agradece, slds

  11.   Carlos Rivafhy monterroso dijo

    yo creo que es muy importante el estar bien informado sobre la seguridad de los sistemas operativos.

Escribe un comentario