Malware in ISO-Dateien von Linux Mint

Angreifer haben am vergangenen Wochenende die Downloadlinks auf der Seite von Linux Mint ersetzt, um auf kompromittierte ISO-Dateien zu verlinken. Außerdem wurden die Daten von rund 71.000 Foren-Accounts kopiert.

Seit dem 20. Februar wurden, über die offizielle Seite von Linux Mint, mit Malware verseuchte Images verteilt. Glücklicherweise wurde die Infizierung schnell entdeckt, sodass die Verantwortlichen bei Linux Mint bereits einen Tag später eine entsprechende Warnung in ihrem Blog veröffentlichen konnten. Deshalb sollten alle, die in der entsprechenden Zeit von Samstag 20. Februar auf Sonntag 21. Februar ein Image heruntergeladen haben, prüfen, ob es infiziert ist. Die ISO-Dateien können mithilfe von MD5-Hashes überprüfen werden, die auch hier am Ende des Beitrages aufgelistet sind. Wer die Images wieder gelöscht hat, aber zuvor zum Aufsetzen eines Systems nutzte, sollte dieses offline booten und schauen, ob eine Datei mit dem Namen man.cy unter /var/lib existiert. Wenn die Datei existiert ist das System infiziert.

Bei dem Backdoor handelt es sich nach aktuellen Informationen um eine Version der Tsunami-Malware. Diese ermöglicht den Angreifern Dateien auf den Rechner ihrer Opfer herunterzuladen und auszuführen. Deshalb sollten betroffene ISO-Dateien gelöscht und infizierte Systeme unbedingt neu aufgesetzt werden. Außerdem wird empfohlen, die Passwörter aller Dienste zu ändern, bei denen sich unter einem infizierten System angemeldet wurde.

Aktuell berichtet ZDNet, dass ein Hacker mit dem Pseudonyme Peace für den Angriff verantwortlich sei und laut eigenen Angaben bereits seit Ende Januar Kontrolle über Teile der Linux Mint Server hatte. Außerdem konnten die Angreifer auch Daten von rund 71.000 Foren-Account kopieren. Darunter Nutzernamen, E-Mail-Adressen und verschlüsselte Passwörter. Da die Passwörter jedoch nur mit der als knackbar geltenden Methode phpass gehasht wurden, wird allen Nutzern empfohlen, ihr Passwort im Forum zu ändern. Wer ein identisches Passwort auch an anderer Stelle verwendet, sollte es natürlich auch dort ändern.

Die Hashwerte:

6e7f7e03500747c6c3bfece2c9c8394f „linuxmint-17.3-cinnamon-32bit.iso“

30fef1aa1134c5f3778c77c4417f7238 „linuxmint-17.3-cinnamon-nocodecs-32bit.iso“

e71a2aad8b58605e906dbea444dc4983 „linuxmint-17.3-cinnamon-64bit.iso“

3406350a87c201cdca0927b1bc7c2ccd „linuxmint-17.3-cinnamon-nocodecs-64bit.iso“

df38af96e99726bb0a1ef3e5cd47563d „linuxmint-17.3-cinnamon-oem-64bit.iso“