Linux Mint Imaj Dosyalarına Backdoor Yerleştirildi

Siz de 20 Şubat’da Linux Mint indirenlerden biri misiniz? Bu saldırıdan etkilenmiş olabilirsiniz!

 

Linux Mint kullanılmakta olan en popüler Linux dağıtımlarının biridir ancak son zamanlarda bu dağıtımı indirip yüklediyseniz, kötü niyetli bir ISO imajı kullanıyor olabilirsiniz. 20 Şubat gecesi, kimliği bilinmeyen bir hacker veya hacker grubu Linux Mint’in sitesini hackledi ve indirme linklerini kendi serverlerına aktardılar. Bu sayede siteye girip indirilen ISO dosyaları aslında hackerlerin kendi serverlerından indiriliyordu. İçerik ise gene Linux Mint 17.3 Cinnamon ISO dosyasıydı fakat kötü niyetli bir malware içeriyordu.
Linux Mint projesinden Clement Lefebvre, 21 Şubat 2016 da şasırtıcı bir açıklama yaparak “Hackerlar Linux Mint ISO’yu modifiye edip içine backdoor yerleştirdikten sonra sitemizi hackleyip indirme linkini kendi serverlarına yönlendirmeyi başardılar.” dedi.

Kimler Etkilendi?

Linux Mint Ekibi’nin bildiği kadarıyla, bu durum sadece bir sürümü etkilemekte o da Linux Mint 17.3 Cinnamon.
Yani bu durum sadece yukarda belirtilen sürümü 20 Şubat 2016’da indirenleri etkilemekte.
Cinnamon sürümünü 20 Şubat’tan önce indirdiyseniz bu durum sizi etkilemeyecek. Hatta bu sürümü veya herhangi bir Linux dağıtımını torrent yoluyla veya başka bir linkten indirdiyseniz gene etkilenmiş durumda değilsiniz.

Sızılma Aşaması

Hackerlar, Mint’in sitesinde kullanılan WordPress’teki bir zafiyetten içeriye web shell yükleyip sızıldığına inanılıyor.
Daha sonra hackerlar Linux Mint in indirme sayfasını Bulgaristan’da bulunan (IP: 5.104.175.212) kötü amaçlı bir FTP sunucusuna yönlendirdiler.
Kullanıcılar bilgisayarlarına enfekte olmus Linux ISO imajlarını yüklerken aslında bir de Internet Relay Chat (IRC) backdoor’u olan Tsunami’yi de yüklemiş oldular ve saldırganlar bu şekilde IRC sunucuları üzerinden sisteme erişim hakkı sağladı.
Tsunami çok bilinen bir Linux ELF trojanı ve DDoS ataklarının yapılmasını sağlayan basit bir IRC botudur.

Hackerlar, Linux Mint Sistem Adminleri’ne Karşı

Bununla birlikte, Linux Mint Ekibi saldırıyı tespit etmeyi başardı, zararlı linkleri sitesibden hızlca temizledi ve resmi bloglarından veri ihlalini ve yaşanan olayı duyurdu fakat hemen ardından hackerların indirme linkini tekrar ihlal ettikleri ortaya çıktı.
Bilindiği kadarıyla hackerların giriş yaptıkları tam nokta hala kapatılamadı ve bunun üzerine Linux Mint Ekibi linuxmint.com alan adını kapattı ve zararlı ISO dosyasının daha fazla kullanıcıya ulaşmasını engelledi.
Linux Mint’in sitesi hala bugün de hala kapalı ve Mint Ekibi sorunu çözene kadar da öyle kalacak gibi görünüyor.
Lefebvre “Bu atağın arkasındaki sebebi bilmiyoruz. Bu kadar çaba projemize zarar vermek ve bizi yaralamak için ise, yetkililer ve güvenlik firmaları ile birlikte çalışarak bu işin arkasındaki saldırganları açığa çıkarıp yüzleşeceğiz” dedi

Hackerlar Linux Mint’in Web Sayfasının Veritabanını Satıyor

Hackerlar Linux Mint’in tüm web sayfası veritabanını sadece 85 Dolar’a satışa çıkarmış durumda.
Ayrıca “Bu saldırı birkac script kiddienin veya deneyimsiz bir gruba işaret etmekte ve bunun nedenleri ise; 2010 yılında kullanımı bitmiş ve çok basit bir IRC botu ile en çok kullanılan Linux dağıtımına saldırmaları. Eğer Banking Trojanlarını kullansalarda cok daha tehlikeli olabilirlerdi. Diğer yandan, saldırı keşfedildikten sonra bile hackerlerın siteye tekrar saldırı da bulunmaları bu hackerların deneyim yetersizliğini tekrar gözler önüne sermekte.” diye de yorumlandı.


 

Yazan: Edipcan Eyüboğlu

Pin It

Bir Cevap Yazın

E-posta hesabınız yayımlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir

Time limit is exhausted. Please reload CAPTCHA.