Los sistemas de los usuarios que hayan descargado Linux Mint el 20 de febrero pasado podrían estar en riesgo después de que se descubriera que hackers de Sofía, Bulgaria, lograron penetrar a Linux Mint, una de las distribuciones de Linux más populares disponibles actualmente. De acuerdo con el reporte de Linux Mint, un hacker logró engañar a los usuarios para que descargaran una versión de Linux Mint ISO mediante un backdoor instalado para remplazar los vínculos de descarga del sitio. El vínculo llevaba a uno de sus servidores que ofrecían imágenes maliciosas del ISO de la edición Linux Mint 17.3 Cinnamon. El sitio ha estado inactivo desde el domingo 21 de febrero, lo que ha evitado que se realicen miles de descargas más.
¿Qué es lo que sucedió?
El 21 de febrero, el proyecto Linux Mint, encabezado por Clement Lefebvre, anunció en un blog que “los Hackers hicieron un Linux Mint ISO modificado, que contenía un backdoor, y lograron modificar nuestro sitio para que se dirigiera hacia él”. Lefebvre enfatizó que sólo las descargas del 20 de febrero se comprometieron y que posteriormente el sitio se desactivó para evitar que se realizaran más descargas y se corrigiera el problema. Como se dice en el blog de Linux Mint, el hacker tuvo acceso al servidor a través del blog del equipo en WordPress. A partir de ahí, el hacker manipuló la página de descarga y la dirigió a un servidor FTP malicioso que contenía la versión modificada de Linux Mint. Esta versión incluía malware que se utilizó para implementar un backdoor.
Una vez que se activa, se conecta clandestinamente a un servidor Internet Relay Chat (IRC) donde espera los comandos y desde donde posiblemente podrían lanzar ataques DDoS. El malware también puede instalarse en las máquinas afectadas para eliminar las evidencias de que estuvo ahí.
¿A quiénes afecta?
De acuerdo con el blog de Linux Mint del 21 de febrero, se descubrió que Linux Mint 17.3 Cinnamon del enlace afectado fue la única instalación que se comprometió. Quienes descargaron otras ediciones no fueron afectados. Por otro lado, quienes la descargaron de otras fuentes, como son los torrentes o mediante enlaces HTTP directos, posiblemente tampoco fueron afectados.
¿Quién está detrás de esto y qué lo motiva?
De acuerdo con Lefebvre, el backdoor y los ISOs hackeados llevan a Sofía, Bulgaria, y a los nombres de otras tres personas de esa ciudad. Sin embargo, al final, no se conocen bien sus motivaciones. De acuerdo con otros reportes, un hacker conocido como Peace reveló que robaron una copia completa del foro del sitio en dos ocasiones – el 28 de enero y el 18 de febrero. Además, el hackeo contiene una porción del vertedero del foro que incluye principalmente direcciones de correo electrónico, fotos de perfiles y contraseñas mezcladas.
Resulta interesante que se revelara más tarde que el hacker había colocado el “vertedero completo del foro” en el mercado Deep Web donde la lista se vende por 0.197 Bitcoins, o cerca de $85 dólares por descarga.
¿Qué pueden hacer los usuarios?
Si usted cree que fue afectado, esto es lo que puede hacer:
- Desconecte el sistema afectado
- Reinstale el sistema operativo usando un instalador limpio
- Destruya todas las copias del ISO malicioso
Leave a Reply