האקרים התקינו דלת אחורית בהפצה הפופולרית לינוקס מינט
האקרים הפנו גולשים שרצו להוריד את מערכת ההפעלה לינוס מינט לשרת בבולגריה שסיפק להם מערכת הפעלה עם דלת אחורית
עידו נאור
| 23/02/2016
webupd8.org
משתמשי לינוקס מינט נחרדו לנוכח הכתבה בבלוג היוצרים של ההפצה לינוקס מינט. הכתבה לא השאירה מקום לשאלות, ובה נכתב שב-20 לפברואר התגלה שינוי בקישורי ההורדה וכל מי שהוריד את ההפצה, בעצם הוריד הפצה זדונית המכילה דלת אחורית לשרת התוקף.
בעת הורדת ההפצה, במקום הורדה ישירה משרת היוצרים, המשתמש מנותב לשרת הממוקם בבולגריה המשתמש בלינק ישיר להורדת ההפצה הזדונית. לאחר התקנה של ההפצה לא יורגש דבר בצד המשתמש, אך בצד התוקף תפתח מנהרת רשת המקשרת בין התוקפים למחשב של הקורבן. ביכולתם של התוקפים לשלוט באופן מלא על ההפצה ואף לשלוח קבצים נוספים על מנת להרחיב את ההתקפה.
הפירצה שתועדה אופיינה כעדכון חסר במערכת ניהול התוכן וורדפרס. פירצה זו הקנתה לתוקפים שליטה מלאה על תוכן האתר. חוקרים בקספרסקי לאב הצליחו להתחקות אחר התוקפים ולגלות שאלו שולטים על הקורבנות דרך שרת שיחות על גבי האינטרנט הנקרא איי.אר.סי
החוקרים מצאו כי בערוץ ייעודי בשם #מינט מוצגים פירוטים נוספים על מספר הקורבנות והפקודות אותן ניתן לבצע. בו בזמן היו מחוברים לערוץ 50 משתמשים. החוקרים מצאו ארבעה שרתי שליטה נוספים, אך לא הייתה דרך לתקשר איתם.
על פי מידע שהתקבל מיוצרי ההפצה, הדלת האחורית מבוססת על שפת התכנות סי והקוד נכתב ל/var/lib/man.cy. הקוד מתהדר עם העליה של מערכת ההפעלה ומורץ אוטומטית. בפעולות שרת התקיפה נראה כי התוקפים ניסו לזהות קבצים ומחשבים משותפים במחשבי הקורבנות על מנת לזהות האם מדובר בארגון גדול או שמא משתמש פרטי.
ניתן למצוא עוד פרטים בבלוג של קספרסקי המפרט עוד על הפירצה והתוקפים. הכותב הוא חוקר אבטחה בכיר בצוות המחקר והניתוח הגלובלי של מעבדת קספרסקי.
האקרים הפנו גולשים שרצו להוריד את מערכת ההפעלה לינוס מינט לשרת בבולגריה שסיפק להם מערכת הפעלה עם דלת אחורית
webupd8.org
משתמשי לינוקס מינט נחרדו לנוכח הכתבה בבלוג היוצרים של ההפצה לינוקס מינט. הכתבה לא השאירה מקום לשאלות, ובה נכתב שב-20 לפברואר התגלה שינוי בקישורי ההורדה וכל מי שהוריד את ההפצה, בעצם הוריד הפצה זדונית המכילה דלת אחורית לשרת התוקף.
בעת הורדת ההפצה, במקום הורדה ישירה משרת היוצרים, המשתמש מנותב לשרת הממוקם בבולגריה המשתמש בלינק ישיר להורדת ההפצה הזדונית. לאחר התקנה של ההפצה לא יורגש דבר בצד המשתמש, אך בצד התוקף תפתח מנהרת רשת המקשרת בין התוקפים למחשב של הקורבן. ביכולתם של התוקפים לשלוט באופן מלא על ההפצה ואף לשלוח קבצים נוספים על מנת להרחיב את ההתקפה.
הפירצה שתועדה אופיינה כעדכון חסר במערכת ניהול התוכן וורדפרס. פירצה זו הקנתה לתוקפים שליטה מלאה על תוכן האתר. חוקרים בקספרסקי לאב הצליחו להתחקות אחר התוקפים ולגלות שאלו שולטים על הקורבנות דרך שרת שיחות על גבי האינטרנט הנקרא איי.אר.סי
החוקרים מצאו כי בערוץ ייעודי בשם #מינט מוצגים פירוטים נוספים על מספר הקורבנות והפקודות אותן ניתן לבצע. בו בזמן היו מחוברים לערוץ 50 משתמשים. החוקרים מצאו ארבעה שרתי שליטה נוספים, אך לא הייתה דרך לתקשר איתם.
על פי מידע שהתקבל מיוצרי ההפצה, הדלת האחורית מבוססת על שפת התכנות סי והקוד נכתב ל/var/lib/man.cy. הקוד מתהדר עם העליה של מערכת ההפעלה ומורץ אוטומטית. בפעולות שרת התקיפה נראה כי התוקפים ניסו לזהות קבצים ומחשבים משותפים במחשבי הקורבנות על מנת לזהות האם מדובר בארגון גדול או שמא משתמש פרטי.
ניתן למצוא עוד פרטים בבלוג של קספרסקי המפרט עוד על הפירצה והתוקפים. הכותב הוא חוקר אבטחה בכיר בצוות המחקר והניתוח הגלובלי של מעבדת קספרסקי.
