Linux Mint 웹사이트 해킹, ISO들이 백도어가 포함 된 OS로 변경 돼

Linux Mint 웹사이트 해킹, ISO들이 백도어가 포함 된 OS로 변경 돼

Warning! — Linux Mint Website Hacked and ISOs replaced with Backdoored Operating System

Linux의 인기있는 배포판인 Mint 웹사이트가 2월 20일에 해킹당하여, 다운로드 링크가 공격자의 서버에서 제공하는 악성 Linux Mint 17.3 Cinnamon Edition ISO 파일로 바뀌었습니다. 

Linux Mint 프로젝트 담당자는 공지를 통하여 "해커들은 Linux Mint ISO에 백도어를 삽입하여 우리 사이트에서 악성코드가 다운로드 되도록 했다"고 밝혔습니다.

이번 이슈는 2월 20일에 Linux Mint 17.3 Cinnamon Edition을 다운받은 사용자들에게 해당되며, 2월 20일 이전 혹은 토렌트나 직접 HTTP 링크를 통하여 다운로드 한 경우에는 해당되지 않습니다. 

공격자들은 Linux Mint의 워드프레스 블로그에 접근하여 www-data의 shell 접근이 가능했던 것으로 보이며 이후 Linux Mint 다운로드 페이지를 변조하여 불가리아에 위치하는 악성 FTP 서버로 연결시켰습니다. 

감염된 Linux ISO 이미지는 OS와 함께 IRC 백도어인 Tsunami를 설치하며, 공격자가 IRC 서버를 통하여 시스템에 접근할 수 있도록 합니다. Tsunami는 DDoS 공격 실행시 사용되는 단순한 IRC 봇인 Linux ELF 트로이목마 입니다. 

현재까지 해당 사이트의 어떠한 취약점이 이용되었는지 확인되지 않아 Linux Mint의 공식 사이트는 오프라인 상태로 남아있습니다.

현재 자신의 ISO 이미지가 악성인지 아닌지 확인하려면, “md5sum yourfile.iso” 명령어로 공식 버전의 MD5와 비교해 보면 됩니다.

유효한 서명은 다음과 같습니다. 

6e7f7e03500747c6c3bfece2c9c8394f  linuxmint-17.3-cinnamon-32bit.iso

e71a2aad8b58605e906dbea444dc4983  linuxmint-17.3-cinnamon-64bit.iso

30fef1aa1134c5f3778c77c4417f7238  linuxmint-17.3-cinnamon-nocodecs-32bit.iso

3406350a87c201cdca0927b1bc7c2ccd  linuxmint-17.3-cinnamon-nocodecs-64bit.iso

df38af96e99726bb0a1ef3e5cd47563d  linuxmint-17.3-cinnamon-oem-64bit.iso

만약 다운받은 파일이 악성파일인 것으로 확인된다면, 다음과 같은 순서대로 조치를 취해야 합니다.

컴퓨터를 오프라인 상태로 만듭니다. 

모든 개인 데이터를 백업합니다. 

정상 ISO를 이용하여 OS를 재설치하거나, 파티션을 포맷합니다. 

민감한 웹사이트나 이메일의 패스워드를 변경합니다.

참고 : 

http://thehackernews.com/2016/02/linux-mint-hack.html

http://blog.linuxmint.com/?p=2994