Logo Tom's Hardware

Linux Mint compromesso: dal sito si scarica una backdoor

Hacker ignoti hanno compromesso il sito di Linux Mint sostituendo una versione con backdoor al download legittimo

Avatar di Giancarlo Calzetta

a cura di Giancarlo Calzetta

-

Linux Mint è una delle distro Linux più popolari: leggera e veloce è un ottimo punto di partenza per molte applicazioni, anche su computer datati.

Purtroppo, nella giornata del 20 di febbraio, il link per il download della ISO di installazione puntava a una versione modificata contenente una backdoor.

La versione interessata dal problema è la Linux Mint 17.3 Cinnamon Edition, mentre non si hanno sospetti sulle altre edizioni, né sui download effettuati prima del 20 di febbraio.

001
Il malware incluso nella versione compromessa di Linux Mint è principalmente usato per attacchi DDOS e facilmente identificabile.

A quanto pare, l'infiltrazione è avvenuta bucando l'installazione di Wordpress presente sul sito, permettendo all'hacker di accedere alla cartella www-data e sostituire il link del download con un altro che puntava a un server collocato in Bulgaria.

La ISO incriminata contiene la backdoor IRC Tsunami, un trojan ELF controllato tramite server IRC solitamente usato per attacchi DDOS.

Una scelta insolita che sembra identificare una certa inesperienza da parte degli attaccanti. Tsunami è, infatti, una minaccia dall'efficacia ormai piuttosto limitata e semplice da scovare.

Inoltre, dopo che il team di Linux Mint ha scoperto l'hack del sito e ripulito i link incriminati, il sito è stato hackerato nuovamente, a sottolineare la condotta inesperta di chi ha condotto l'attacco.

Gli hacker di un certo livello, infatti, evitano accuratamente di portare lo stesso attacco due o più volte per evitare che vengano chiuse le falle che hanno garantito l'accesso.

Per questo è opinione diffusa che l'operazione contro Linux Mint sia stata condotta da cybercriminali alle prime armi o da script kiddies (anche se il livello di competenza sembra troppo alto per la media).

Al momento, il sito di Linux Mint è stato disattivato in attesa che il team che ne gestisce l'operatività identifichi il vettore di ingresso e lo neutralizzi, in modo da evitare future manomissioni che portino a download insicuri.

Se avete installato la versione infetta di Linux Mint, identificabile confrontando l'MD5 originale con quello della vostra ISO, la cosa più sicura da fare è quella di compiere un backup dei dati e reinstallare il sistema operativo.

Leggi altri articoli